グーグル(Google)のセキュリティチーム「Google Project Zero」は、iPhoneのiMessageを経由し、悪意あるGIF画像を受信するだけで、標的となったユーザーのiPhoneをハッキングする攻撃について、公式ブログでその詳細を明らかにした。
この手法により、ニューヨークタイムス紙のジャーナリストや、人権活動家団体のスタッフなどに対する攻撃が確認されているという。
なお、この脆弱性(CVE-2021-30860)は、2019年9月に公開されたiOS 14.8へのアップデートによって修正済みである。
Project Zeroの公式ブログによると、iMessageに含まれる脆弱性を悪用し、攻撃者が悪意あるメッセージを標的となるユーザーのiPhone宛に送信し、そのメッセージを受信しただけで、iPhoneがハッキングされる被害が発生していたという。
これまで、類似の攻撃手法としてSMSでフィッシング用のURLなどを送信し、ターゲットがそのリンクを誤ってクリックする、いわゆるワンクリック攻撃が行われていることが知られていた。
今回「Google Project Zero」が明らかにした手法では、攻撃の標的となるターゲットは悪意のあるメッセージを受信するだけで、URLなどを一切クリックしなくても、iPhone上で任意のコードを実行される乗っ取り被害にあうため、ソフトウェアアップデートにより脆弱性が修正されるまで、その被害を防ぐ方法は存在しなかったという。
iMessageには、チャット内にアニメーションGIFを送受信する機能がある。この機能は、実際にチャット画面でアニメーションGIFを表示させる前に処理が行われていた。
攻撃者はアニメーションGIFになりすました悪意あるPDFを送りつけ、PDFの構文解析プログラムに含まれる脆弱性を悪用して任意のコードを実行することで、iMessage経由で標的となるiPhoneのハッキングに成功していたという。
アップルでは、関連する脆弱性を修正した際の情報として「この脆弱性が悪用された可能性があるという報告について把握しています。」と、脆弱性が修正される前に、既に攻撃が行われている可能性があることを明かしていた。