Illusionofchaosと名乗るセキュリティ研究者がiPhoneに影響する3つの脆弱性の詳細を公開しました。これらの脆弱性は記事作成時点で動作している全てのiPhoneで未修正のものとなっており、本人は「Appleに報告しても一向に改善されないこと」から一般公開したとのことです。
- Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program / Habr
- illusionofchaos / Repositories · GitHub
- Researcher Publishes Source Code for Three Unpatched iPhone Exploits
Illusionofchaosこと、デニス・トカレフ氏が2021年9月23日に公開したブログ記事でいiPhone(iOS)に関する3つの未修正の脆弱性を公開し、さらに脆弱性を悪用するためのソースコードもGitHubにアップロードして公開しています。他のセキュリティ研究者によると、トカレフ氏が公開した内容は悪意のある攻撃者が利用すると、ユーザーの個人情報を抜き取れてしまうとのことです。
トカレフ氏が脆弱性を公開した理由について、自身が参加している「Apple Security Bounty Program」にあるとしています。同プログラムはApple製品の脆弱性を申告し、脆弱性が解決されると申告者に対して報酬が支払われるというものですが、トカレフ氏が申告した脆弱性の修正が一向に開始されなかったことから、埒が明かないとして一般公開に踏み切ったようです。
同氏は「私は2021年3月10日から2021年5月4日の間に4つのゼロデイ脆弱性を報告しましたが、iOS 14.7で1件の問題が修正されただけで、(記事作成時点で)最新バージョンのiOS 15.0には3件の脆弱性が残ったままです。しかし、Appleはこれらの脆弱性をアップデート予定に告知せず、私が指摘しても、過去3回のアップデート予定にも公開されないままとなっています」と経緯を説明。同氏は「ブログを公開する10日前にAppleに説明を求めましたが無視されたため、Googleの脆弱性ガイドラインの『ベンダーへの報告から90日後に一般公開する』方針に従いました」として、トカレフ氏の持つ全ての情報を一般公開しました。
iOSを対象とした「デバイスを攻撃するためのソースコードを完全公開すること」は極めて稀とされており、今回トカレフ氏が語るGoogleの脆弱性ガイドライン(Project Zero)に従った一般公開についても、基本的にはバグ修正完了後に行われるものです。また、GitHubはユーザーのデバイスを攻撃するためのソースコードの公開を禁止しており、この問題がどのように発展するかは未知数となっています。
なお、今回の問題について、AppleおよびGitHubは記事作成時点でコメントをしていません。
