【2020年5月28日更新】iPhoneやiPadのメール機能にゼロディ脆弱性攻撃が確認されている件
米国のセキュリティベンダーZecOpsよりiPhoneにデフォルトでインストールされているメールアプリの脆弱性に関する記事が公開されました。
本件、すでに標的型攻撃での悪用が確認されていること。
そして、後述の通り、日本のキャリアの重役を標的にしていたということを踏まえ、まとめていきます。
2020年5月28日更新
2020年5月20日(現地時間) に脆弱性の修正済みバージョンに関するアップデート情報が公開されました。
当該脆弱性は、CVE-2020-9818およびCVE-2020-9819として採番されており、ドイツでは現地時間の5月27日、政府の専門機関より注意喚起も発行されています。
バージョンアップがお済みでない方は今一度ご確認の上、ご対応いただくとよいかと思います。
目次
脆弱性の概要
ZecOpsより、今回の脆弱性に関して、わかりやすい図があったので、まずは簡単に。
- iOS 6以降のバージョンに影響
- Apple Emailが影響。OutlookやGmailは影響を受けない
- ZecOpsでは2018年にiOS11.2.2で初めて確認した
- パッチは現在公開されていない
影響を受けるバージョン
脆弱性は少なくともiOS 6以降(発行日:2012年9月)にiPhone 5がリリースされたときから存在しているとされ、2020年4月23日現在でリリースされている最新版のiOSも対象です。
そして、後述する通り、脆弱性はメモリ領域を超えたデータの書き出しを行えてしまうものであり、古い機種であればあるほど、そのリスクは高いと考えられます。
ちなみに、メモリの目安として、以下が提示されています。
- iPhone6 1GB
- iPhone7 2GB
- iPhoneX 3GB
そして、OSについて、iOS12ではメールアプリケーション(MobileMail)と同じプロセス内でデータストリーミングが行われるため、プロセス単位で必要なデータ量が多く、脆弱性の悪用が容易になります。
一方で、iOS13では、MobileMailのデータストリーミングはバックグラウンドプロセスに渡すため、リスクが少し軽減されているとのことです。
ただし、この仕組みのためか、後述のゼロクリック攻撃に関しては、iOS13の場合に作用してしまいます。
攻撃観測について
今回の脆弱性を悪用した標的型攻撃がすでに確認されており、以下の組織や個人をターゲットとしている様子が確認されています。
キャリアは記事中でa carrierを訳したものなので、一般的にイメージされる携帯電話大手ではなく普通の郵便配達企業かもしれません。 (携帯電話大手の場合、mobile carrierって記載する気がするのだけども。。。)
攻撃の仕組み
ライブラリ名
/System/Library/PrivateFrameworks/MIME.framework/MIME
脆弱なファンクション名
[MFMutableData appendBytes:length:]
MFMutableDataにおける、Out-Of-Bounds write(領域外メモリへの書き出し)を行うエラーチェック機能の実装不備に起因する
また、同じく、Out-Of-Bounds writeに関して、システムコールの失敗を待たずして、書き出しが始まってしまうことも確認されている
さらに、遠隔からヒープオーバフローが可能な脆弱性も発見されている
これらの脆弱性は、メモリに負荷をかければ、容易に悪用が可能で、様々な手段での攻撃が確認されているとのことです。
また、取得されたEメールの処理中に作用してしまうため、端末にメールが正しくダウンロードされないこともあり、悪意のあるメールが残らないこともあるとのことです。
攻撃時には、受信および処理が確認されたメールがサーバに保存されていなかったことから上記のエラーによるものか、もしくは意図的な削除だと推測されています。
そして、この脆弱性の悪用に成功することで、攻撃者は電子メールの漏洩や改ざん、削除などが可能になるとのことです。
なお、観測された標的型攻撃の中には、他のカーネルの脆弱性を組み合わせた攻撃でデバイスのフルコントロールを成功させた可能性もあるとのことです。
脆弱性悪用時の異常動作
先述の通り、脆弱性の悪用時にはメモリを過剰消費しようとすることが想定されるので、メールアプリの動作が極端に遅くなることが推測されます。
また、攻撃に失敗し、メールが正しく保存されなかった場合の例として、以下の画像が例示されています。
ゼロクリック攻撃について
今回確認された遠隔からのヒープオーバフロー脆弱性は、iOS13において、ユーザの関与なしに悪用できることが証明されています。
この攻撃は「ゼロクリック攻撃」と呼ばれています。
iOS12に関しては、受信者がメールをクリックする必要があるとのことですが、攻撃者がメールサーバを管理している場合には同様にして、ユーザの関与は不要だとのことです。
つまり、企業などで攻撃者によってサーバが侵害されている場合には、ゼロクリック攻撃が有効だということですね。
まとめ
企業用のスマートフォンは、おおよそみんなiPhoneを使っている気がするので、今回の脆弱性はインパクト大きい気がしますね。
対象となるメールアドレスさえわかればその人に送り付けて、表示してもらうだけですからね。
ちなみに、私自身は、スケジューラ連携なども考慮してOutlookのメールクライアントを落としていますが、ふつうはしないのかな。
おそらく近いうちに最新バージョンが公開されると思いますが、割とiPhoneのアップデートは後回しにしがちなので、意識しておかなければですね。
少し話が変わりますが、Zoomのアップデートが公開されましたね。
ちょうど使う機会があったので触ってみましたが、ルームへの参加にも承認が必要だし、Zoom Bombingはなかなか起こりえない気がしますね。
急を要する対応が迫られたとはいえ、Zoom社のポテンシャルの高さを感じています。
改訂履歴
2020年5月28日 脆弱性の修正バージョンに関するアップデート情報およびドイツの注意喚起について情報公開されたため、追記