企業がソフトウェアの脆弱性の報告者に対して正当な報奨金を支払うことは、ソフトウェアを健全な状態に保つために極めて重要である。Appleは2021年、macOSにおいて、Webカメラを使ったサイバー攻撃につながる2件の脆弱性を修正した。CVE-2021-30861とCVE-2021-30975として追跡されているこの2件の脆弱性は悪用されると、ユーザーのオンラインアカウントやマイク、Webカメラにアクセスできるようになる可能性があった。
The Hacker Newsは1月30日(米国時間)、これらの脆弱性を報告したセキュリティ研究者のRyanPickren氏に対して、Appleは10万500ドル(約1160万円)の報奨金を支払ったと報じた。
この脆弱性は、特に「ShareBear」と呼ばれるiCloud共有アプリケーションに関連したものだという。iCloudで共有ドキュメントを初めて開こうとした際、ユーザーにプロンプトを表示して確認する仕組みになっている。しかしユーザーが一度ファイルを開くことを受け入れると、ShareBearによって信頼されたファイルとして登録されて、プロンプトは二度と表示されなくなる。
RyanPickren氏が発見したのは、ユーザーが一度ファイルを開くことを許可した後で、ファイルの提供者がその内容や拡張子をユーザーの同意なく変更できてしまうという問題だ。この仕組みを悪用すれば、攻撃者は最初に信頼できると見せかけたファイルをユーザーに開かせ、その後でファイルをユーザーの操作や通知なしで実行可能なバイナリに書き換えて実行させることが可能になるという。
RyanPickren氏によって報告された攻撃手法は、この実行可能バイナリが、Safariの別の脆弱性を悪用することでマイクやWebカメラを乗っ取ったり、ローカルファイルを盗んだりするエクスプロイトを起動するというもの。結果的に、攻撃者はユーザーがSafariを使ってアクセスしたすべてのWebサイトへのフルアクセスを取得することも可能になるという。
RyanPickren氏のレポートの全文は次のページで読むことができる。
Appleはこの2件の脆弱性について、2021年9月20日にCVE-2021-30861の修正版を、2021年12月13日にCVE-2021-30975の修正版をそれぞれリリースしている。
- Safari 15 のセキュリティコンテンツについて - Apple サポート (日本)
- macOS Big Sur 11.6.2 のセキュリティコンテンツについて - Apple サポート (日本)
RyanPickren氏はこの問題について、macOSのGatekeeperを有効にしていたとしても、攻撃者が承認されたアプリをだますことでで多くの悪意のある処理を実行できることを示すわかりやすい例だと指摘している。