Buipe

数日前、GoogleのProject Zeroの研究者たちは、iPhoneを悪意のあるウェブサイトから脆弱にするエクスプロイトの詳細を記したブログ記事を公開しました。このiOSの脆弱性を悪用することで、攻撃者は何も知らないiPhoneユーザーのデバイスにルートアクセスし、ユーザーの写真、メッセージ、ほぼリアルタイムの位置情報、保存されたパスワードなどの機密情報を盗む可能性があります。

悪意のあるウェブサイトにアクセスするだけで iPhone がこのハッキングに感染し、このエクスプロイトの詳細を発見して公開した研究者によると、そのようなウェブサイトには毎週何千人もの無防備な被害者がアクセスしていたという。

この脆弱性は、iOS 10からiOS 12までの複数のiOSバージョンで発見されました。Googleの研究者がAppleのソフトウェアに発見された脆弱性を共有した後、Appleは2019年2月にiOS 12.1.4のソフトウェアアップデートでこの脆弱性を修正しました。しかし、研究者によると、これらのウェブサイトはAppleがソフトウェアの脆弱性を修正する少なくとも2年前からiPhoneをハッキングしていたとのことです。

中国が少数民族を標的にするために利用する悪用

Googleの研究者たちは、この脆弱性がどのように、そして誰によって利用されたのかは把握していないと述べています。しかし、GoogleのProject Zeroの研究者たちがこの脆弱性の詳細を公開してからわずか数日後、TechCrunchは、中国が国内のウイグル族イスラム教徒を標的にするために同じ脆弱性を利用していたと報じています。ウェブサイトの情報筋によると、これらの悪意のあるウェブサイトは、中国の新疆ウイグル自治区に居住するイスラム教徒の少数民族に対する国家支援による攻撃の一環だったとのことです。

この攻撃は、権威主義的な中国政府によるウイグル族イスラム教徒コミュニティへのより大規模な弾圧の一環となるはずだった。近年、中国は少数民族コミュニティを標的とし、強制収容所に収容している。

iPhoneが感染すると、中国政府はメッセージ、パスワード、位置情報など、対象の個人データを閲覧できる可能性があるという。

悪意のあるウェブサイトの主な目的はウイグル族のイスラム教徒を標的とすることでしたが、ウェブサイトはGoogle検索にインデックスされ、誰でもアクセス可能だったため、ハッキングはウイグル族以外の人々も標的としていました。そのため、FBIはGoogleに対し、これらのウェブサイトを検索エンジンから削除するよう要請しました。

Appleのソフトウェアセキュリティは、iOSおよびmacOSシステムに複数の脆弱性が見つかったため、ここ数年で低下傾向にあります。2017年にAppleがリリースしたmacOSには、ルートパスワードを入力せずに誰でも管理者としてログインできる重大なバグがありました。さらに最近では、Appleは以前のバージョンで修正したiOSの脆弱性を再び導入するという前例のないミスを犯しました。このミスにより、ハッカーはiOS 12.4の脱獄ツールを公開することができました。

だからといって、全てが悪いというわけではありません。Appleは最近、iOSの報奨金プログラムを強化し、脆弱性を発見して報告した人に最大100万ドルの報奨金を提供するようになりました。AppleはこのプログラムをmacOSにも拡大しました。