iLeakage というサイドチャネル攻撃:Apple A/M Series 上の Safari から機密情報を抽出

iLeakage: New Safari Exploit Impacts Apple iPhones and Macs with A and M-Series CPUs

2023/10/26 TheHackerNews — iLeakage と呼ばれる新しいサイドチャネル攻撃を、ある研究者グループが考案した。それは、Apple iOS/iPadOS/macOS デバイスで動作する A/M Series CPU の脆弱性を悪用して、Safari から機密情報を抽出するものだ。この最新の研究について、研究者である Jason Kim/Stephan van Schaik/Daniel Genkin/Yuval Yarom は、「攻撃者は Safari に任意の Web ページを表示させ、投機的実行を使用して、その中に存在する機密情報を抽出することが可能になる」と述べている。


この攻撃シナリオでは、悪意の Web ページを介してサイドチャネル脆弱性を悪用し、Gmail 受信トレイのコンテンツ復元や、クレデンシャル・マネージャーにより自動入力されたパスワードの復元さえも可能だという。

iLeakage は、Apple Silicon CPU に対する、Spectre スタイルの投機的な攻撃の初めてのケースとなる。さらに、Safari の WebKit エンジンを使用することをブラウザ・ベンダーに義務付ける、Apple の App Store ポリシーにより、iOS/iPadOS で利用可能な全サードパーティ製 Web ブラウザに対しても機能する。

Apple が 2022年9月12日に通知した脆弱性は、Apple の A/M Series の ARM プロセッサーを搭載する、2020年以降にリリースされた全 Apple デバイスに影響を及ぼすものだ。

この問題は、攻撃者の管理する Web ページに被害者がアクセスした際に、ブラウザ・タブ上の Web ページに埋め込まれた悪意の JavaScript と WebAssembly が、標的の Web サイトのコンテンツを密かに読み取ることに起因する。

それは、マイクロ・アーキテクチャのサイドチャネルにより実現され、タイミング/消費電力/電磁放射などの変動を通じて、脅威アクターが機密情報を推測するために武器化するものである。

新たなスタイルのサイド・チャネル攻撃は、投機的実行と呼ばれる最新の CPU のパフォーマンス最適化メカニズムに起因しており、2018年に Spectre が明るみに出て以来、いくつかの手口により標的化されている。

 

投機的実行とは、実行が完了していない先行命令が条件分岐に遭遇したときに、予備の処理サイクルを使ってプログラム命令セットを out-of-order スタイルで実行し、性能上の利点を得る方法である。

この技術の基本は、プログラムがたどる経路を予測して、その経路に沿った命令を推測的に実行することだ。そして、予測が正しいと判明した場合には、そのタスクは他よりも早く完了する。しかし、予測が異なっていた場合には、投機的実行の結果は放棄され、プロセッサは正しい経路に沿って再開する。とはいえ、このような誤った予測はキャッシュに一定の痕跡を残す。

Spectre のような攻撃は、正しいプログラム実行時には発生しない操作を CPU に投機的に実行させ、サイドチャネル経由で被害者の機密情報を漏えいさせていく。

言い換えれば、CPU に機密命令を誤って予測させることで、攻撃者が不正なプログラムを通じて別のプログラム (つまり被害者) に関連するデータにアクセスできるようにし、隔離保護を効果的に破壊するというものだ。

iLeakage は、Apple が組み込んだハードニング対策を回避するだけではなく、タイマーレスでアーキテクチャに依存しない方法を実装している。そして、攻撃者とターゲットにれ関連する2つのプロセスが、同じ CPU 上で実行される場合において、競合状態を利用して個々のキャッシュ・ヒットとキャッシュ・ミスを区別する。

最終的に、このガジェットは、Safari のレンダリング・プロセスのアドレス空間の任意の場所で、境界外の読み取りを引き起こし、情報漏洩へといたる秘密のチャネルの基礎を形成する。

技術的な専門知識が必要とされるため、この脆弱性が実際の攻撃で使われる可能性は低いだろう。しかし、今回の調査は、ハードウェアの脆弱性がもたらす脅威が、何年にもわたって続いていることを強調している。

この iLeakage のニュースの数ヶ月前には、Collide + Power (CVE-2023-20583)/Downfall (CVE-2022-40982)/Inception (CVE-2023-20569) という、3つのサイドチャネル攻撃の詳細が、サイバー・セキュリティ研究者たちにより明らかにされている。

また、DRAM チップ上の RowHammer 攻撃の亜種であり、また、BlackSmith を改良したとされる RowPress も発見された。この攻撃は、隣接する行のビット反転を引き起こし、データの破損や盗難につながる可能性がある。

サイドチャネルという、CPU の先読み機能を狙う攻撃は、それほど昔からあるわけではなく、文中にも 2018年と記載されています。その時に Intel の CPU で発見された脆弱性に、Spectre という名前がつけられていることを、この記事を訳していて知りました。それが、Apple Silicon CPU にも発生し、iLeakage という名前がつけられたとのことです。