AシリーズおよびMシリーズチップの脆弱性により、iPhone、Mac、iPadのパスワードなどの機密情報が攻撃者に漏洩する可能性があります。セキュリティ研究者は、MacのSafariとiOSデバイスのあらゆるブラウザに影響を与えるこの脆弱性を「iLeakage」と名付けました。

概念実証攻撃では、研究者らは Gmail の受信トレイの内容、YouTube の履歴、Safari によって自動入力されたパスワードにアクセスすることに成功しました。

iLeakageの欠陥

Arstechnica が攻撃の仕組みを概説しています。

研究者たちはiLeakageをウェブサイトとして実装しました。脆弱なmacOSまたはiOSデバイスからアクセスすると、このウェブサイトはJavaScriptを使用して、攻撃者が選択した別のウェブサイトを密かに開き、ポップアップウィンドウに表示されたサイトコンテンツを復元します。研究者たちはiLeakageを利用して、YouTubeの視聴履歴、Gmailの受信トレイの内容（ターゲットがログインしている場合）、そして認証情報マネージャーによって自動入力されているパスワードの復元に成功しました。iLeakageサイトにアクセスすると、ターゲットマシンのプロファイリングに約5分かかり、さらに平均で約30秒かけて64文字の文字列などの512ビットの秘密情報を取得します。

「攻撃者がSafariに任意のウェブページをレンダリングさせ、投機的実行を用いてそのページ内に存在する機密情報を復元する方法を実証しました」と、研究者らは情報ウェブサイトに記しています。「特に、Safariが悪意のあるウェブページを、Gmailの受信トレイの内容など、一般的に価値の高い標的から機密情報を復元することをどのように許可しているかを実証します。最後に、認証情報マネージャによって自動入力されたパスワードの復元を実証します。」

スペクターとメルトダウンの亜種

このエクスプロイトは本質的には、2018 年に発見された Spectre および Meltdown チップの脆弱性の亜種であり、投機的実行と呼ばれる処理機能に関連しています。

両氏は、ほぼすべての最新CPUに組み込まれている投機的実行と呼ばれるパフォーマンス向上機能において新たに発見されたサイドチャネルを探索することで、機密情報を復元することに成功しました。メインシステムメモリからCPUへのデータ移動には時間がかかります。待機時間を短縮するため、最新のCPUは、必要なデータが利用可能になるとすぐに命令を実行し、順番通りに実行することはありません。

このアウトオブオーダーパラダイムの重要な要素は、CPUが進む可能性のあるパスを予測することです。予測が正しければ、タスクは予測が正しかった場合よりも速く完了します。予測が誤っていた場合、CPUは予測を誤ったパスを放棄し、新しい正しいパスに進みます。CPUはこれらの影響の大部分を元に戻すことができますが、SpectreとMeltdownの研究者たちは、キャッシュや予測子の状態など、マイクロアーキテクチャレベルの特定のアーティファクトは復元できないことを発見しました。この知見により、研究者たちはIntelとAMDのCPUを欺き、機密命令を誤予測させることで、あるアプリの機密情報を別の無関係なアプリに漏洩させる攻撃を考案しました。これは、コアセキュリティ境界の重大な侵害です。

それ以来、CPUメーカーやソフトウェアメーカーは、投機的実行攻撃を軽減するための様々な手法を考案してきました。重要な緩和策の一つは、ブラウザやその他のアプリがCPUが特定の処理を実行するのにかかる正確な時間を測定できないようにすることです。ブラウザでは、圧縮35ビットアドレス指定やバリューポイズニングと呼ばれる防御策によって、より多くの緩和策が提供されています。

iLeakage は、Spectre と Meltdown に対抗するために導入された保護を克服することに成功しました。

現実のリスクは低い

この欠陥については良いニュースと悪いニュースがあります。

厄介なことに、この脆弱性を悪用した攻撃者は、デバイスをバックグラウンドで任意のウェブサイトに強制的にアクセスさせ、そのセッションからデータを取得できます。ポップアップウィンドウに気づいて閉じたとしても、攻撃は静かに継続されます。また、攻撃を実際に実行するために必要なリソースは最小限です。

私がこの 4 つの単語を強調した理由は、良い知らせがあるからです。これは非常に洗練された攻撃ベクトルであり、悪用するには極めて高度な専門知識が必要です。

最大の課題（そして相当な難しさ）は、高度な技術的専門知識が求められることです。攻撃者は、投機的実行の脆弱性を悪用する長年の経験だけでなく、AシリーズおよびMシリーズのチップを完全にリバースエンジニアリングし、そこに潜むサイドチャネルに関する知見を得る必要があります。この脆弱性がこれまでに発見されたという兆候はなく、ましてや実際に悪用されたという証拠もありません。

セキュリティ研究者が悪用方法を発見するために行った作業を、攻撃者が再現する前にAppleがこの脆弱性を修正できると期待されています。実際、Appleがパッチ公開前に可能な限り多くの情報を共有することを選択したという事実は、その自信の表れと言えるでしょう。

havebin.com を Google ニュース フィードに追加します。