Googleの脅威分析チーム「Threat Analysis Group(TAG)」と市民社会に対するデジタルの脅威を研究する「The Citizen Lab」が協力し、iPhoneに対するゼロデイエクスプロイトチェーンを発見しました。Appleは2023年9月21日にリリースしたiOS 16.7とiOS 17.0.1でこの脆弱性を修正しているため、できる限り早くアップデートを行う必要があります。

0-days exploited by commercial surveillance vendor in Egypt

https://blog.google/threat-analysis-group/0-days-exploited-by-commercial-surveillance-vendor-in-egypt/



PREDATOR IN THE WIRES: Ahmed Eltantawy Targeted with Predator Spyware After Announcing Presidential Ambitions - The Citizen Lab

https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-after-announcing-presidential-ambitions/

今回発見されたエクスプロイトはIntellexa社(旧Cytrox社)が開発するスパイウェア「Predator」をiOS端末にインストールさせるもの。エジプトの元国会議員アーメド・エルタンタウィ氏が自身のスマートフォンの安全性に疑問を抱き、The Citizen Labに調査を依頼して発覚しました。エルタンタウィ氏が2024年のエジプト選挙で大統領に立候補する計画を公に表明した後にエクスプロイトが実行された点や、過去にIntellexa社とエジプト政府に取引実績がある点から、Intellexa社がエジプト政府からの依頼を受けて実行したとみられています。

今回の攻撃では、攻撃対象とウェブサイトの間に攻撃者が入る「中間者攻撃(MITM)」が使用されました。攻撃対象が「http」を使用してウェブサイトにアクセスしようとしている場合、攻撃者はトラフィックを傍受して偽のデータに差し替える事が可能です。一方、「https」を使用してウェブサイトにアクセスするとトラフィックが暗号化されてのぞき見ることが不可能なほか、サーバー証明書を利用して受信したデータが正規のサーバーからのものであることを検証できます。

エルタンタウィ氏のケースでは、任意の「http」サイトにアクセスした場合にIntellexaのサイトにリダイレクトするようになっていました。その後、下記の3つの脆弱性を組み合わせるエクスプロイトチェーンによってユーザーの操作不要で小さなバイナリが実行されている事が確認できたとのこと。

・CVE-2023-41993: Safariでの最初のリモートコード実行(RCE)

・CVE-2023-41991: PACバイパス

・CVE-2023-41992: XNUカーネルのローカル権限昇格(LPE)

詳細な情報についてはGoogleの脆弱性開示ポリシーに従って順次公開される見込みです。

なお、Google ChromeではMITM攻撃への対策として、URLでhttpを指定していてもhttpsで通信しようとする「HTTPSファーストモード」が搭載されており、httpsで接続できない場合、下図のような警告が出現してユーザーに安全性が低いことが通知されるようになっています。