iPhoneユーザーであれば青ざめかねないセキュリティ脆弱性の詳細情報が公開された。最新版を使用していればこの脆弱性の影響は受けないが、もし古いバージョンを使っているとしたら、早めにアップデートを適用することが望まれる。
Google Project ZeroチームのIan Beer氏は12月1日(米国時間)、「Project Zero: An iOS zero-click radio proximity exploit odyssey」において、iOS 13.3.1およびMacOS10.15.3よりも前のバージョンに存在するとされる脆弱性の詳細情報を公開した。
該当する脆弱性の修正については次のページで確認できる。
- About the security content of iOS 13.3.1 and iPadOS 13.3.1 - Apple Support
- About the security content of macOS Catalina 10.15.3, Security Update 2020-001 Mojave, Security Update 2020-001 High Sierra - Apple Support
Google Project ZeroチームからAppleに報告された内容は次のページで確認できる。
掲載されているPoC動画では、攻撃を仕掛ける小型PCの近くに置かれた26台のiPhoneが攻撃によって一斉に強制再起動がかかる様子を見ることができる。動画で示されているのは再起動だが、攻撃の仕組み上、情報窃取などさまざまな操作が可能とされている。
-
Project Zero: An iOS zero-click radio proximity exploit odyssey
この脆弱性はAWDL (Apple Wireless Direct Link)プロトコルに関連するWi-Fiドライバのバッファオーバーフローに原因があるとされている。脆弱性を発見するには専門的な知識が必要となるが、研究者は簡単なデモンストレーションでこの脆弱性を悪用できることを示しており注意が必要。なお、本稿執筆時点ではこの脆弱性がサイバー攻撃に悪用されたという発表は行われていない。
