Bitdefenderは2月22日(現地時間)、「Details on Apple’s Shortcuts Vulnerability: A Deep Dive into CVE-2024-23204」において、iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、watchOS 10.3にて修正された脆弱性「CVE-2024-23204」について詳しく解説した。この脆弱性は潜在的な危険性が高いとみられており、ユーザーは速やかにアップデートして対策することが推奨されている。

Details on Apple’s Shortcuts Vulnerability: A Deep Dive into CVE-2024-23204

○脆弱性「CVE-2024-23204」の危険性

この脆弱性は、ショートカットの特定の操作を悪用することで、ユーザープロンプトを回避してデバイス上の機密情報にアクセスできる不具合。ここでいうAppleのショートカットはWindowsのそれとは異なり、1つまたは複数の作業を組み合わせて独自のタスクを作成できる機能のこと。

通常のアプリは機密データにアクセスする際、アクセスを管理するTCC(Transparency、Consent、and Control)の影響を受ける。TCCはアプリが特定のデータまたは機能にアクセスする前にユーザーに明示的に許可を求めることを保証し、ユーザーのプライバシーとセキュリティを強化する。しかしながら、Bitdefenderによるとショートカット上の機能は、一部の機密データにプロンプトを表示することなくアクセスできるという。

また、ショートカットの「Expand URL」機能もTCCをバイパスするために重要な要素とされる。Expand URLは短縮URLなどのリダイレクト先URLを調べる機能で、HTTPリクエストを発行してその応答を分析する。

攻撃者はこれらを統合することで攻撃が可能となる。具体的にはショートカットから機密データ(写真、連絡先、ファイル、クリップボードデータ)を選択。次に機密データをインポートしてBase64エンコードを使用してテキストデータに変換。最後にExpand URL機能を使ってURLの一部としてテキスト化された機密データを外部に送信する。

○脆弱性を悪用した攻撃の影響と対策

ユーザーが作成したショートカットは複数の方法で配布することが可能であり、Appleはショートカットアプリの「ギャラリー」から探す機能を提供している(参考:「iPhoneまたはiPadの「ギャラリー」でショートカットを見つける - Apple サポート (日本)」)。このため、攻撃者は悪意のあるショートカットをギャラリーなどを通じて容易に配布することができる。

このような攻撃を回避するため、Bitdefenderはユーザーに次の対策を推奨している。

iOS、iPadOS、macOS、watchOSを最新バージョンにアップデートする

信頼できないソースからショートカットを実行する場合は注意する

Appleの提供するセキュリティアップデートとパッチを定期的に確認する

上記の2点目の信頼できないソースのショートカットは実行しないことが最善だが、どうしても実行したい場合は実行前に内容を確認することが推奨される。また、この脆弱性はすでに修正されているため、iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、watchOS 10.3以降にアップデートすることで対策を講じることが可能。