Googleのセキュリティグループ Project Zero はiPhoneが2年間もの間、Webサイトにアクセスさせるだけでハッキングされる恐れがあったことを報告した。
5つのエクスプロイトチェーンが公開され、全体で14つの脆弱性が発見された。
1つ1つのチェーンに関する詳細もProject Zeroのページで説明されている。
チェーン1はiOS 10が公開された後すぐに作成されたものと見られており、少なくとも2年間は攻撃可能な状態にあったという。
攻撃の中身としてはSafariのサンドボックスを回避し、カーネルの脆弱性を悪用できるというもの。
この脆弱性によって、通信の盗聴や位置情報、写真、iOSのキーチェーンのパスワードなどが盗まれる危険がある。
WhatsAppのようにエンドツーエンドの暗号化をしているものでもメッセージを見られる。
それは、メッセージが復号された状態で保存されたデータベースの情報を脆弱性を使ったマルウェアは見ることができるためである。
Gmailの場合もメールの内容を見られる危険がある。
これほどの脆弱性の場合、100万ドルから最近では200万ドルで脆弱性が取引されるが、特定のターゲットを狙った攻撃ではなくWebサイトに公開されていたところが疑問である。
Wiredの記事では、元NSAのJake Williamsによると、国内の監視活動ではないかと予想している。
また、これらのゼロデイ脆弱性を使ったスパイウェアがHTTPS暗号化をせず、通信先のIPアドレスがハードコードされている点もアマチュアのようなミスだという。
HTTP通信のため、途中でデータを見ることも改ざんすることも可能。
また、IPアドレスがハードコードされているためにハッカーグループのサーバーを特定することも容易になる。
これらのことからも政府機関が脆弱性を購入し、経験の浅いプログラマーがマルウェアを作成したのではないかと予想している。