iOS／Android のゼロデイを悪用：エジプトの野党指導者を狙った MitM 攻撃が発覚

Predator Spyware Delivered to iOS, Android Devices via Zero-Days, MitM Attacks

2023/09/25 SecurityWeek — Google の Threat Analysis Group によると、iOS／Chrome のゼロデイ脆弱性の悪用と中間者攻撃 (MitM) により、Predator スパイウェアが iPhone／Android デバイスに配信されているという。先週に Apple が通知したのは、脆弱性 CVE-2023-41991 (署名検証バイパス)／CVE-2023-41992 (ローカル特権の昇格)／CVE-2023-41993 (悪意の Web ページを介した任意のコード実行) という３つのゼロデイにして、パッチが適用されたことである。Apple は、iOS／macOS などのソフトウェアの脆弱性を修正したが、その一方で、悪用を認識しているのは、iOS のバージョン 16.7 以前のデバイスのみだと指摘していた。

ところが金曜日の時点で、この脆弱性を Apple に報告したとされるトロント大学の Citizen Lab と Google TAG が、エジプト野党の有力政治家 Ahmed Altantawy 狙った攻撃で、この脆弱性の連鎖が悪用されたことを明らかにした。

このエクスプロイトが興味深いのは、MitM 攻撃を通じて配信されたことである。一般的に MitM 攻撃は、国家に支援された APT などの、多くのリソースを持つ脅威アクターにより開始される。

このケースに関する Citizen Lab の説明は、Ahmed Altantawy が Vodafone Egypt のモバイル・データ接続を通じて特定の Web サイトにアクセスすると、Predator スパイウェアを提供するために設定された、悪意のサイトにリダイレクトされたというものだ。この攻撃は、Cytrox と Intellexa に関連すると分析されるが、Cytrox はハイエンドの iPhone インプラントで知られている存在である。

このエジプトの議員は、HTTPS ではなく HTTP を使用する Web サイトを訪問した場合にのみ、スパイウェアを提供するサイトにリダイレクトされていた。つまり、攻撃者は被害者のトラフィックを傍受し、悪意の Web サイトへと強制的にリダイレクトさせることが可能だった。

Google は、「ユーザーによる操作を必要としない、ゼロクリック脆弱性に注目が集まっているが、この MitM 配信においても、ユーザーによるドキュメントのオープンや、特定リンクをクリック、電話への応答は必要ない」と説明している。

全体主義的／権威主義的な政権が、トラフィック管理のミドルボックスを使って、ISP レベルで監視やトラフィック操作を行うことは珍しくない。

Citizen Lab は、「今回のケースでは、攻撃者はインジェクション・ミドルボックスを使用したが、ミドルボックスが Telecom Egypt と Vodafone Egypt の、どちらのネットワーク上にあるのかは特定できなかった。しかし、私たちは Vodafone Egyp tのネットワーク内にあるのではないかと推測している。なぜなら、Vodafone の加入者個人をターゲットにしてインジェクションを正確に行うためには、Vodafone の加入者データベースとの統合が必要となるためだ」と述べている。

Citizen Lab の指摘は、Predator スパイウェアの顧客として知られているエジプト政府が、野党指導者を標的にした作戦を知らないという可能性は極めて低いというものだ。

その一方で Google は、エジプトの Android 端末に Predator スパイウェアをインストールするように設計された、エクスプロイト・チェーンを目撃したと報告している。同社の研究者は、このチェーンに関与する全て脆弱性は特定できなかったが、リモートコード実行のために、脆弱性 CVE-2023-4762 が悪用されていることは確認したという。

Chrome の脆弱性である CVE-2023-4762 は、９月初旬に Google がリリースしたアップデートによりパッチ適用されている。その当時、同社は実社会での悪用を認識していなかったが、修正パッチがリリースされる前に、この脆弱性がゼロデイとして悪用されたと捉えている。

Android のエクスプロイト・チェーンは、MitM 攻撃だけではなく、SMS や WhatsApp メッセージで、ターゲットにダイレクト送信される悪意のリンク経由でも配信されていた。

Google は、この脆弱性へのパッチ適用を呼びかける一方で、Chrome ブラウザには HTTP-First モードと呼ばれる機能があり、Web ページを自動的に HTTPS にアップグレードしようと試みることも指摘している。

この記事で指摘されている Apple の脆弱性ですが、第一弾の報道は 2023/09/21 の「Apple が３件のゼロデイ脆弱性を FIX：攻撃での積極的な悪用を確認」です。それから４日後の 2023/09/25 に、新たな悪用が報告されたという状況です。また、Google の CVE-2023-4762 に関しては、2023/09/06 の「Chrome 116 の深刻な脆弱性４件が修正：サービス拒否やコード実行にいたる可能性」を、ご参照ください。