Jamfは12月10日(米国時間)、「CVE-2024-44131 TCC Security Framework Bypass Vulnerability」において、同社が発見したApple製品の脆弱性について詳細情報を公表した。

この脆弱性を悪用されると、オペレーティングシステムのセキュリティ機能を回避して秘密裏に機密情報を窃取される可能性がある。

  • CVE-2024-44131 TCC Security Framework Bypass Vulnerability

    CVE-2024-44131 TCC Security Framework Bypass Vulnerability

脆弱性の概要

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-44131 - シンボリックリンクの不十分な検証の脆弱性。攻撃者は悪意のあるアプリを通じてユーザーデータにアクセスできる可能性がある(CVSSスコア: 5.5)

この脆弱性はシステムプロセス「FileProvider」に存在する。ユーザーがファイル操作アプリ(Files.appなど)を使用して、攻撃対象領域にあるファイルやディレクトリを移動またはコピーすると、攻撃者の管理下にあるディレクトリーに移動またはコピーされる可能性がある。

原因はシンボリックリンクの不十分な検証とされる。攻撃者はファイル操作を検出した直後に上位ディレクトリをシンボリックリンクに差し替えることで、移動先などを変更することができる。

FileProviderには同様の攻撃を回避するために、シンボリックリンクの検証処理が実装されている。しかしながら、その対象がファイル自身および親ディレクトリまでとなっており、攻撃者はそれより上位のディレクトリを差し替えることで侵害可能とされる。

  • 攻撃の概念図(上:対策済み条件、下:本件脆弱性) - 引用: Jamf

    攻撃の概念図(上:対策済み条件、下:対象の脆弱性) 引用:Jamf

攻撃者の悪意のあるアプリはシンボリックリンクの差し替えを行うのみで、実際のファイル操作は高い権限を与えられたFileProviderが行う。そのため、この手法を使用するとアプリの不正アクセスを防止するセキュリティ機能「Transparency, Consent and Control(TCC)」を回避することができる。

対策

Appleはこの脆弱性を2024年9月にリリースしたiOS 18、iPadOS 18、macOS Sequoia 15にて修正した(参考:「Apple security releases - Apple Support」)。修正対象となっているデバイスのユーザーには、最新バージョンにアップデートすることが推奨されている。