アップルは26日、ゼロデイ攻撃に悪用された脆弱性3件を修正した、モバイル端末用OSの最新版「iOS 9.3.5」を公開した。対象となるのは、iPhone 4s以降、Pad 2以降(mini Proを含む)、iPod touch第5世代以降。
最新版では、カーネル(システムの中枢部)の位置が特定されるおそれのある情報漏えいの問題、カーネルの特権でコードが実行されるおそれのあるメモリー破壊の問題、Webページを表示するレンダリングエンジン「Webkit」で任意のコードが実行されるおそれのあるメモリー破壊の問題の、計3件の脆弱性が修正された。
米セキュリティ企業のLookoutと加トロント大学のセキュリティ研究機関Citizen Labの発表によると、これら3件の脆弱性は、アラブ首長国連邦の人権活動家のiPhoneに侵入し、スパイウェアを仕掛ける目的に悪用されていたという。今月10~11日(現地時間)、活動家のiPhoneに届いたSMSのリンク先で、これらを悪用した攻撃が行われたという。
iOSは通常、公式サイト「App Store」からダウンロードしたアプリ以外、インストールできないようになっている。ところが、これら3件の脆弱性を悪用する細工をしたWebサイトに誘導されると、サイトを閲覧しただけで、勝手にアプリがインストールされてしまう。それも、システムと同じあらゆる操作が行える特権を持つアプリだ。
今回の攻撃は、限定されたものだが、悪用可能な深刻な脆弱性の存在が明らかになった以上、いつ他の攻撃に転用されてもおかしくない。iOS端末のユーザーは、一刻も早く最新版にアップデートしていただきたい。
最新版への更新は、端末の「設定」アイコンから「一般」→「ソフトウェア・アップデート」と進むか、端末をパソコンに接続し、iTunes経由で行う。
(2016/08/26 ネットセキュリティニュース)
【関連URL】
・About the security content of iOS 9.3.5(アップル)
https://support.apple.com/ja-jp/HT207107
・Sophisticated, persistent mobile attack against high-value targets on iOS[英文](Lookout Blog)
https://blog.lookout.com/blog/2016/08/25/trident-pegasus/
・The Million Dollar Dissident: NSO Group's iPhone Zero-Days used against a UAE Human Rights Defender[英文](The Citizen Lab)
https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/