IT、ガジェットネタまとめ速報

IT技術やガジェットネタに関するみんなの反応のまとめをチョイスしてお届け!

企業別:Apple

「macOS High Sierra」のプログラムコードを2行書き替えるだけで「見えないクリック」を使ってハッキングできるゼロデイ脆弱性

投稿日:

1: 田杉山脈 ★ 2018/08/14(火) 14:17:26.48 _USER
00_m
macOS High SierraがインストールされているMacに、新たな脆弱性が存在することが発表されました。この脆弱性が利用されると、悪意のあるアプリケーションがユーザーの関与なしに画面上のオブジェクトをクリックしてしまえるようになるとのことです。

macOS Zero-Day Flaw Lets Hackers Bypass Security Using Invisible Mouse-Clicks
https://thehackernews.com/2018/08/macos-mouse-click-hack.html

この脆弱性は、元NSA(アメリカ国家安全保障局)のハッカーで、Digita Security社の主任研究員を務めるパトリック・ワードル氏がセキュリティ関連カンファレンスのDEF CON 26で発表したもの。脆弱性の内容は、体が不自由な人のために用意されているアクセシビリティ機能を悪用することで、悪意のあるアプリケーションが実際のユーザーが意図していない操作を実行してしまえるというもので、非常に危険なゼロデイ脆弱性であるとワードル氏は指摘しています。

実際に起こりうる問題についてワードル氏は、次のように例を挙げて説明しています。

「1回のクリックだけで、いくつものセキュリティメカニズムが完全にバイパスされてしまいます。信頼できないアプリケーションを実行しますか?クリック。キーチェーンへのアクセスを承認しますか?クリック。サードパーティ製のカーネル拡張機能をロードしますか?クリック。外部のネットワーク接続を承認しますか?クリック。というふうに」

ワードル氏は、DEF CON 26の中でプレゼンテーションを行っており、そのタイトルは「The Mouse is Mightier than the Sword(マウスは剣よりも強い)」というものでした。

ワードル氏が明らかにした内容はユーザー・インターフェースを使った「シンセティック(合成)インタラクション」と呼べるもので、コンピュータープログラムが目には見えない「合成クリック」を行うことでユーザーの意図にはない操作を自動で知らないうちに実行してしまうことが可能になるとのこと。前述のように、その背後にはAppleが用意している「アクセシビリティ」機能があるのですが、もちろんAppleはこの機能が悪用されないようにさまざまなバリアを設けています。

しかしワードル氏は、2つの連続した「合成クリック」イベントをHigh Sierraが「実際のクリック」と間違って解釈してしまうことを発見。この問題が悪用されると、攻撃者がプログラムを利用してセキュリティ警告に対応したり、機密性の高いデータに対するアクセスの承認を実施してしまったりできるようになるとのことです。

ワードル氏はこの問題を、コードをコピー・アンド・ペーストしている時に偶然に発見しました。実際の問題の詳細についてワードル氏は明らかにはしていませんが、High Sierraのコードの2行に少し手を加えることで脆弱性を利用できるようになってしまうそうです。以前に問題を発見した時とは異なり、ワードル氏はこの件についてAppleには報告せず、DEF CON 26の場で発表することを選択したとのことです。

なお、次バージョンのmacOS「Mojave」では合成イベントをブロックすることで脅威を排除する対策が盛り込まれているとのことです。
https://gigazine.net/news/20180814-macos-zero-day-flaw/

引用元: http://egg.5ch.net/test/read.cgi/bizplus/1534223846/

続きを読む

このまとめの続きはコチラ!

-企業別:Apple

関連記事

スマートフォン出荷台数 アップルは3位に後退 中国勢が躍進

1: ムヒタ ★ 2018/08/01(水) 11:57:56.93 _USER
世界のスマートフォンの最新の3か月間の出荷台数が発表され、アメリカのアップルは、韓国のサムスン電子と中国のファーウェイに次いで、2010年の春以来、3位に後退しました。 アメリカの調査会社IDCによりますと、…

アップル株、強気派優勢の構図崩壊-iPhone登場以降初めて

1: 田杉山脈 ★ 2019/01/05(土) 19:41:40.07 _USER
アップルを象徴する製品である「iPhone(アイフォーン)」の登場以降で初めて、同社株の購入を避けるべきとの見方がウォール街のコンセンサスとして浮上した。 ブルームバーグのデータ分析によると、アップルに…

Appleは2019年に約6000万台のAirPodsを販売、ワイヤレスイヤホン市場の総収入の70%超を占める

Appleは2019年に約6000万台のAirPodsを販売、ワイヤレスイヤホン市場の総収入の70%超を占める

1: ムヒタ ★ 2020/01/16(木) 14:53:00.46 _USER
AppleはAirPodsの販売台数に関する情報を公開していませんが、マーケティング企業のStrategy Analyticsが、近年成長をみせるワイヤレスイヤホン市場における販売台数データを公開しました。これによると、2019年のAirPodsの…

米アップルが医療用品供給 フェースシールド

米アップルが医療用品供給 フェースシールド

1: ムヒタ ★ 2020/04/06(月) 09:53:06.60 ID:CAP_USER
【ニューヨーク=共同】米アップルは5日、部品メーカーと協力し、顔全体を保護する医療用フェースシールドの設計や生産に取り組んでいることを明らかにした。新型コロナウイルスの感染拡大で医療用品が足りない病院に…

シザーキーボードを搭載したMacBook ProとMacBook Airを2020年第2四半期に発売か

シザーキーボードを搭載したMacBook ProとMacBook Airを2020年第2四半期に発売か

1: 田杉山脈 ★ 2020/03/12(木) 20:22:56.01 _USER
MacRumorsが、TF International SecuritiesのアナリストMing-Chi Kuo氏は、投資家へのレポートの中で、Appleは、2020年第4四半期から2021年第1四半期の間に、カスタムプロセッサを搭載したMacBookを発売する計画だと予…