米Appleは8月25日(現地時間)、iOS 9のアップデート「iOS 9.3.5」の提供を開始した。ゼロデー攻撃を受ける可能性があるセキュリティ問題を修正する重要なアップデートで、同社は全てのユーザーにアップデートを推奨している。
Appleが提供するiOSのセキュリティ・アップデートに関する情報によると、iOS 9.3.5のセキュリティアップデートはカーネル関連が2件、そしてWebKit関連が1件で、悪意のあるプログラムが実行される可能性がある脆弱性を修復する。
New York Timesのオンライン版が25日に公開した記事「Apple Software Vulnerability Is Linked to Intrusions」によると、今回のアップデートで修復されるセキュリティ問題は、アラブ首長国連邦の人権活動家Ahmed Mansoor氏のiPhoneに送られてきた不審なテキストメッセージをCitizen Labが調査した結果から明らかになった。
Citizen Labの研究者はMansoor氏の携帯端末に何ものかが侵入した痕跡を発見。不正侵入には非常に洗練された手法が用いられていたが、接続する約200のサーバーのいくつかがNSO Groupというイスラエルの組織にレジスタされていることを割り出した。NSO Groupはターゲットの携帯端末に侵入し、バックグラウンドで利用をトラッキングしながらテキストメッセージやメール、通話、コンタクト、パスワードといった情報を盗み取るツールを提供している。赤十字、FedEx、CNN、Al Jazeera、Google、The Pokémon Companyなどを装う悪質な手口が度々、研究者からレポートされていた。
Citizen LabはLookoutを用いて不正侵入に用いられたコードを精査し、その結果iOSの未知の脆弱性が判明、セキュリティ研究者のBill Marczak氏とJohn Scott Railton氏がAppleに報告した。ゼロデー攻撃の可能性もあることから同社はすぐに対応し、10日間でセキュリティパッチの配布を実現した。