シマンテックは6月18日、同社の公式ブログにおいて、Apple OSの脆弱性に関する記事を公開した。
記事によると、AppleのオペレーティングシステムMac OS XとiOSに影響する脆弱性が発見されており、攻撃者がその悪用に成功すると、パスワードなどの情報が盗み出される可能性があるという。
インディアナ大学を中心とする研究チームによって発見された脆弱性は4種類あり、悪質なアプリがセキュリティ制御をすり抜けて他のアプリから重要なデータを盗み出せることが明らかになった。これらの脆弱性は2014年10月にAppleに報告済みだが、Appleは修正パッチの公開に6カ月かかるとし、対処された一部の問題以外のほとんどの脆弱性は今もパッチのない状態のままだという。
Mac App StoreとiOS用のApp Storeからインストールするアプリはいずれも、コンピュータ上ではサンドボックスという安全なコンテナ内に隔離されており、許可される権限は限定され、コンテナ外のリソースにアクセスする必要がある場合は、ユーザーに許可の付与を求める。今回発見されたのは、不正なアクセスの付与を許す脆弱性4種類で、研究者はこれを「クロスアプリリソースアクセス(XARA)攻撃」と命名した。
1番目の脆弱性は、各種のアプリやオンラインサービスのパスワードを保存し取り出す、Apple OSの「キーチェーン」と呼ばれるパスワード管理機能において、悪質なアプリが別のアプリのキーチェーンエントリを作成できるというもの。標的となるアプリがコンピュータ上に存在せず、後からインストールされた場合、その資格情報は悪質なアプリが作成したキーチェーンエントリに保存される。標的となるアプリがすでにインストールされている場合は、悪質なアプリは既存のキーチェーンエントリを削除して新しいエントリを作成するため、次にアプリにアクセスするとき、ユーザーは資格情報を再入力することになる。
2番目は、悪質なアプリがアプリに属する安全なコンテナにアクセスしデータを盗み出すという脆弱性。各アプリのコンテナには、バンドルID(BID)という重複のないIDが与えられており、Mac App Storeに登録するアプリは、他のアプリに割り当てられているBIDを使うことはできないが、サブターゲットに問題があったという。
サブターゲットとは、拡張機能、フレームワーク、ヘルパープログラムのように他のアプリに埋め込まれて機能するアプリのこと。Mac App Storeは、サブターゲットのBIDが他のアプリやそのサブターゲットのBIDと重複するかどうかを検証しないので、他のアプリやそのサブターゲットと同じBIDを持つサブターゲットを埋め込んだ悪質なアプリケーションは、他のアプリのコンテナに完全にアクセス可能となる。
3番目の脆弱性は、WebSocketなどの、Mac OS X上と他のプラットフォーム上におけるアプリケーション間のプロセス間通信(IPC)チャネルにおける、重要な情報を漏えいさせる欠陥。WebSocketはサーバとクライアントの間で接続を確立するために使われるものだが、悪質なアプリは、正規のアプリケーションが使っているポートを占有して、そこに送信されたデータを傍受し、パスワードなどの重要情報を入手できるという。
4番目は、データを他のアプリに渡すときに使われるURLスキームアプリに関連する脆弱性。例えば、mailtoで始まるURLは、データをメールアプリに送るが、この脆弱性を悪用すると、そのスキームを乗っ取ることができるため、標的となったアプリに送信されたデータは悪質なアプリで受信されることになり、アクセストークンや他の情報が盗み出される可能性がある。
これらの脆弱性が実際に悪用された事例はまだ報告されていないが、その存在が知られるようになれば、攻撃者はそれを悪用し始めるようになるとシマンテックでは指摘している。
これらの脆弱性に対する対処方法として、同社は、Mac OSXやiOS利用者は、Appleからセキュリティ更新が公開され次第、速やかに更新を適用すること、新しいソフトウェアをインストールする時は注意を払い、疑わしい場合は信頼できるベンダーの製品だけを選ぶことを挙げている。また、セキュリティソフトウェアを最新の状態に保っていれば、コンピュータにマルウェアを寄せつける可能性は低くなるという。
