元NSA職員がハイシエラのセキュリティチェックを回避するマルウェアを実演c
セキュリティ研究者で元NSA職員のパトリック・ウォードル氏は、日曜日にmacOS High Sierraに対する一連の自動化された攻撃を実演し、セキュリティチェックを回避する予定だと述べた。
これらのチェックは、連絡先や位置情報へのアクセスなどの操作をアプリに許可するかどうかをユーザーに確認するものです。
彼はすぐに、これらの脆弱性を利用しても攻撃者がMacに最初にアクセスすることはできないと指摘した。しかし、この脆弱性はAppleのサンドボックスを効果的に回避し、悪意のあるアプリが追加の権限を取得できるようにするものだ。
Wired の報道によると、この脆弱性は「合成クリック」と呼ばれる手法を利用しており、不正なコードがユーザーがボタンをクリックして許可を与える動作を模倣するという。
ラスベガスで日曜日に開催されるハッカーカンファレンス「DefCon」で、ウォードル氏は、2017年リリースのHigh SierraといったmacOS最新版に対して仕掛けた巧妙な自動攻撃の実例を発表する予定だ。これらの攻撃は、いわゆる「合成クリック」と呼ばれるもので、マルウェアがブロックするための許可プロンプトを難なく通過できるようにする。その結果、マルウェアはユーザーのマシンに侵入すると、セキュリティレイヤーをすり抜けてユーザーの位置情報の特定や連絡先の盗難といった不正行為を実行できるようになる。あるいは、ウォードル氏の最も意外かつ決定的な手法によって、オペレーティングシステムの最も深層部であるカーネルを乗っ取り、コンピューターを完全に制御できるようになるかもしれない。
「ユーザーインターフェースこそが、まさに単一障害点なのです」と、現在Digita Securityでセキュリティ研究者として働くウォードル氏は語る。「もしこれらのアラートを総合的に操作する方法があれば、あらゆるセキュリティメカニズムを迂回する非常に強力かつ汎用的な手段が手に入ることになります。」
ウォードル氏は以前、アクセシビリティ機能を使って同じことを達成していました。Appleがこれをブロックするパッチをリリースした後、ウォードル氏はさらなる回避策を発見しました。ウォードル氏によると、最大のリスクは、不正なアプリがこの手法を使ってカーネルを制御できるようになることであり、本来は不可能なはずのことです。
マルウェアがこのトリックを利用してカーネル拡張機能をインストールできれば、多くの場合、追加されたコードを悪用して標的マシンを完全に制御できるようになります。Windowsのドライバと同様に、カーネル拡張機能はmacOSにインストールするために開発者の署名が必要です。しかし、既存の署名済みカーネル拡張機能にセキュリティ上の欠陥がある場合、マルウェアはその拡張機能をインストールし、その欠陥を悪用してカーネルを制御することができます。
「多くの高度なマルウェアはカーネルに侵入しようとします。まるでゴッドモードのようです」とウォードル氏は言う。「カーネルに感染できれば、あらゆる情報が見え、あらゆるセキュリティメカニズムを回避し、プロセスを隠蔽し、ユーザーのキー入力を盗聴できます。これで本当にゲームオーバーです。」
この脆弱性は Mojave で修正されているようです。
どうやらこれは Mojave で修正されたようです。合成イベントは、それを投稿するアプリのユーザー承認がなければ Mojave では許可されません。https://t.co/NntzcmB6uo
— ジョン・グルーバー(@gruber)2018年8月13日
AppleはmacOS 10.13.6でも合成クリックをブロックしようとしているようだと報じているが、どの程度効果があるかはまだ不明だ。日曜日には詳細が明らかになるだろう。
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
tillline.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
