米国 Hewlett-PackardZero Day Initiative(ZDI)が主催するハッキングコンテスト「Mobile Pwn2Own」が11月13日〜14日の2日間、日本で開催された。このイベントの初日、Apple iOS と Samsung GALAXY S4 が、研究者らの手によって陥落した。

Mobile Pwn2Own は、東京で、セキュリティカンファレンス「PacSec 2013」と同時開催されたイベント。未知のモバイル脆弱性の存在を実証できた場合、総額で30万ドルの賞金を獲得できる。

イメージ
ZDI でマネージャーを務める Brian Gorenc 氏は eWeek に対し、イベント初日の11月13日に、中国と日本の研究者が脆弱性の実証に成功したと述べた。

Samsung GALAXY S4 の陥落

チーム三井物産セキュリティディレクション(MBSD)は、最新のパッチが適用され、ルート化されていない Samsung GALAXY S4 の脆弱性を突くことに成功した。研究者達は単一の脆弱性を突くのではなく、端末にプリインストールされていた複数のアプリの脆弱性を突いた。この手法により、研究者たちは利用者のメッセージログ、連絡先、閲覧履歴、その他の個人情報を取得してみせた。

Gorenc 氏は MBSD のデモンストレーションに対して次のように述べている。

「MBSD による発見は実に意義のあるものだ。彼らは、複数の脆弱性を突くことで、端末に侵入する権利を得ることに成功した」

2012年にオランダアムステルダムで開催された Mobile Pwn2Own でも Android OS の新たな脆弱性が発見された。このとき、研究者は NFC の脆弱性を悪用していた。Gorenc 氏は、日本で新たに発見された脆弱性は、これとは全く異なる手法を用いたもので、NFC は利用されていないと強調した。

MBSD には賞金として、4万ドルが授与されている。

Apple も陥落

Apple iOS は、中国のセキュリティチーム KEEN によって陥落した。同チームは、最新のパッチが適用された iOS 7.0.3 が稼働する iPhone で、ユーザー認証情報の取得に成功した。

Gorenc 氏は KEEN のデモンストレーションを次のように説明した。

「脆弱性は Safari Web ブラウザに存在していた。彼らは、クッキーを含むユーザーデータの取得に成功した」

Safari Web ブラウザのクッキーには、様々なユーザー情報が保存されている。例えば、Facebook などの Web サイトにログインする際に必要なユーザー認証情報などだ。同チームは、Facebook アカウントの乗っ取りも実演したという。

チーム KEEN が iOS 版 Safari で発見した脆弱性は、Mac 版の Safari にも存在する可能性がある。脆弱性は、WebKit に関連したものであり、WebKit はモバイル版およびデスクトップ版の Safari で、レンダリングエンジンとして利用されているためだ。

Gorenc 氏は、「我々はまだ、この脆弱性がデスクトップ版 Safari にも存在するか、確認していない」と述べた。

チーム KEEN には、2万7,500ドルの賞金が授与された。だが、モバイル Web ブラウザ部門の賞金は4万ドルだったはずだ。なぜチーム KEEN に与えられた賞金は、2万7,500ドルだったのだろう?

Gorenc 氏は、チーム KEEN が Apple サンドボックスの完全な回避に成功したわけではないからだと説明した。だが Gorenc 氏は、Apple サンドボックスを回避できなかったにもかかわらず、彼らの発見した脆弱性が大きなダメージを与えることは、とても興味深いと付け加えている。

日本でのイベント開催の狙いとは?

ハッキングコンテストを日本で開催した理由は、アジアの研究者に対して、セキュリティコミュニティーへの参加を促すことにあった。日本と中国からの参加者が賞金を獲得したことで、この狙いは達成されたと、Gorenc 氏は述べる。

「初日が終了した段階で、すでに昨年のイベントよりも多くの脆弱性を発見することができている。アジアの研究者達とより良い関係を築けたのは、とても楽しい経験だった。我々は今後さらに、これを推進していく」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。