システムの脆弱性により、iOSやmacOSのソースコードが外部に対して「オープン」な状態となっていたことが、セキュリティ研究チームの調査で明らかになりました。
iCloudのSSRF脆弱性を発見
セキュリティ研究者のサム・カリー氏ら5人で構成されるチームはAppleのバグ懸賞プログラムにエントリーし、3カ月間でセキュリティに関連した55種類の脆弱性を発見しました。このうち11種類は深刻なものであったと報告されています。
この11種類のなかでも、カリー氏が「非常に見つけにくかった」バグであるとし、アプリ開発者のスティーブ・トラウトン=スミス氏(@stroughtonsmith)が「衝撃的だ」と評しているのが、「iCloudのサーバーサイドリクエストフォージェリ(SSRF)脆弱性」です。
This is shocking; Apple's source repo, including the source to possibly everything in iOS and macOS, was wide open to the public-facing internet via a Pages web app vulnerability https://t.co/fxnNnOHkGf pic.twitter.com/TwPUQ72xxd
— Steve Troughton-Smith (@stroughtonsmith) October 8, 2020
iOSやmacOSのソースコードにアクセス可能だった
簡単にいうと、Appleの文書作成アプリ「Pages」Web版の脆弱性により、iOSやmacOS、その他アプリのソースコードを含むAppleの内部リポジトリが、外部からアクセス可能な状態になっていたのです。
つまりハッカーらがiOSやmacOSなどのソースコードにアクセスし、読むだけでなくPagesファイルに保存し、ダウンロードもできるようになっていたとのことです。
実際カリー氏らセキュリティ研究チームは、Githubリポジトリに、Appleの内部リポジトリにアクセスするためのURLが保管されているのを発見しています。
カリー氏らはこの深刻な脆弱性を発見し次第すぐにAppleに報告しているため、現在はこの問題は修正されています。
Source:Sam Curry via Steve Troughton-Smith(@stroughtonsmith)/Twitter
(lunatic)
- Original:https://iphone-mania.jp/news-318601/
- Source:iPhone Mania
- Author:iPhone Mania