状況証拠はあるが、コード等、直接的な証拠は示されていない模様。
個人的教訓と興味は次の三点
①今どきのiPhone(+iOS) & 10億人以上が使うアプリでも、深刻なバグはある。
②どのような次善策があるか?
タイムリーなソフトのupdateは当然として、
(iPhone自体から情報が直接漏えいしたのでないとしたら)iTunesバックアップをしない、という次善策は有りえたか? それはそれで別のリスクがあるとしても。
(iPhone自体から情報が直接漏えいしたのでないとしたら)iTunesバックアップをしない、という次善策は有りえたか? それはそれで別のリスクがあるとしても。
③仮に特注マルウェアが直接要因だったとして、これはいつコモディティ化されるか?
当面は、新聞社を所有するような資産家の方はお気を付けください。
追加詳報を待つ。
主に技術面紹介記事を挙げておきます。
・Amazon CEOのiPhoneハッキング疑惑についてまとめてみた (01/24)
『
- ベゾス氏が被害を受けたとされる個人端末はiPhone X A1901。
- FTIコンサルティングのフォレンジックではバックアップデータ暗号化への対応を行った記述*5が存在し、MotherboardはiTunesバックアップとその関連データの抽出を中心に解析が行われた可能性を指摘している。
- FTIコンサルティングのレポートの結論でも「NSO Groupのツールが使用された」とする断定的な表現は行われていない。スパイウェアや直接関連する証跡は示されておらず、送信データ急増と不可解な2通のメッセージを含む状況証拠より、専門家が可能性を指摘するにとどまっている。またPegasusは国家が使用するスパイウェアとして出した一例であり、Hacking TeamのGalileoの言及もある。
...
不可解な事象② 皇太子から届いたビデオファイル
- 2019年5月1日、WhatsAppを通じてベゾス氏宛に皇太子から届いたビデオファイルが発端と指摘されている。
- ビデオファイルはMP4ファイルで4.22MBだった。このファイル自体から悪性の痕跡となるデータは確認されていない。
- ファイルは暗号化されたダウンローダーより届いたもので、WhatsAppの仕様もあって取得されたコンテンツを解読し、ビデオのほかに悪性コード等が存在するかは確認できなかった。
- 参考情報としてWhatsAppは2019年5月13日に深刻な脆弱性(CVE-2019-3568)が存在するとして、修正対応を行っていた。この際、脆弱性悪用の関与が報じられていたのがNSO Groupだった。ただし、この時は発端となったのはURL付きのSMSで、今回の動画ファイルを参照させるというものではなかった
』
・How could Jeff Bezos’ iPhone Hack Be Prevented (01/24)
『私の推測によると、使用されたエクスプロイトはおそらくこれ(CVE-2019-11931)でした
・CVE-2019-11931 Detail https : //nvd.nist.gov/vuln/detail/CVE-2019-11931 概要: 特別に細工されたMP4ファイルをWhatsAppユーザーに送信することにより、WhatsAppでスタックベースのバッファオーバーフローが引き起こされる可能性がある。DoSまたはRCE(Remote Code Execution)を引き起こす可能性あり。
一般的なソーシャルアプリWhatsAppがiOS App Storeから合法的にダウンロードされ、マルウェアインプラントのPegasusスパイウェアが悪用の一環としてアプリにひそかに添付されたようです。実際のハッキングの時点では、ペガサススパイウェアはアプリ評価ソリューションによってゼロデイとして検出されなかった可能性があります。
このエクスプロイトが進化するとすぐに、MobileIron Threat Defense (MTD)があれば、特権の昇格(EoP)の脅威、システムの改ざん、ファイルシステムの変更の脅威が検出されたことでしょう。エクスプロイトがデバイスレベルに進化すると、MTDやMobileiron UEMは、RCE完了後のjailbreak状態も検出したことでしょう。(訳注、仮定法過去完了で自社製品をアピール) 会社のセキュリティポリシーが許すなら、セキュリティチームがWhatsAppバンドル、またはMTD管理コンソール内で構成されたWhatsAppの特定のバージョンをブラックリストに登録することをお勧めします。
ベゾス氏の携帯電話に統合されたエンドポイント管理またはモバイル脅威防御ソリューションがインストールされていなかったため、この攻撃を潜在的に阻止できませんでした。』
WhatsAppのもう一つの深刻な脆弱性と言えばこれ(↓)
・WhatsAppの脆弱性CVE-2019-3568についてまとめてみた (2019/05/15)
『影響: VOIPのバッファオーバーフローの脆弱性。細工されたSRTCPパケットが標的の電話番号へ送信されるとリモートで任意のコードが実行される恐れ
対策: 最新版へのversion up。スパイウェアが入り込んでいた場合アップデートでクリアになるかは不明。
』
- 標的への攻撃は電話をかけるだけ。対象が電話に出る必要はなく不在着信だけで攻撃が成功する。
- 攻撃をする電話発信は通信履歴から消えてしまう場合もある。
- Financial TimesなどはNSO Groupが開発する「Pegusus」にこの脆弱性が利用されていたと報道。
出典元のBBC記事曰く『「非常に厳密に制御されたサンドボックスでアプリを実行するため、iOSではアプリを攻撃ルートとして使用することは制限されています」とWoodward教授は述べています。 「攻撃はWhatsAppの単なる破損であると考えていますが、分析はまだ進行中です。』
・How Jeff Bezos’ iPhone X Was Hacked (01/22)
※機械翻訳
『 使用されたマルウェアの種類など、電話への侵入については多くの技術的な謎が残っています。
モハメッド王子のアカウントからベゾス氏に送信されたビデオファ イルを含むWhatsAppメッセージ …
彼に送信されたファイルを開いたかどうかについては詳述されてい ません ... 一部のマルウェアはファイルをクリックすることなくインストール 可能 …
…
New York Timesが入手したレポートと追加のメモによると、14バイト の小さな悪意のあるコードの塊を含む無害に見えるビデオファイル を含む2018年5月のメッセージは、青天の霹靂でした。Bez os氏のiPhoneは、その後24時間で大量のデータの送信を 開始し、通常のデータ使用量よりも約29,000% 増加しました。
』
※今日の英語、晴天の霹靂 : come out of the blue
・Did Saudi Arabia hack the phone of Amazon CEO Jeff Bezos? (01/23)
※機械翻訳
『 サウジアラビアの将来の王がアマゾンの創始者を標的にすることに 個人的に関与したかもしれないという啓示は、 ウォールストリートとシリコンバレーの両方からの反発をもたらす 可能性があります。 真実ならば、王国を経済的に変革する彼の計画の一部として、 より多くの西洋人投資家をサウジアラビアに連れて行くモハメッド ・ビン・サルマンの努力を損なう可能性もあります。』
露見しなければ、或いは重要案件なら(他の国でも)起こりうることか。
No comments:
Post a Comment