iOS 6以降のiPhoneの純正のメールアプリに脆弱性が発覚したと発表がありました。iPhone/iPadOSの13.4.1の純正メールアプリの脆弱性を攻撃する内容やiOS 13.4.5で修正することについてまとめましたので参考にしてください。
iPhone/iPadOSの最新バージョンとなっているiOS 13を含むiOSデバイスの純正のメール機能に脆弱性が確認されて、既に攻撃が開始されていると発表がありました。
ZecOpsがWebで明確に確認されている脆弱性は、iOS 6以降iOS 13.4.1までのテスト済みバージョンにおいてすべてに含まれていることが確認されていて、電源が入っているiPhoneすべてが攻撃対象となっています。
iOS 6以降iOS 13.4.1までの全端末iPhone/iPadOSに対してのメールアプリの脆弱性は2つ確認されています。セキュリティグループZecOpsによると脆弱性の一つは、遠隔でのゼロクリック・エクスプロイト(ユーザー簿操作なしに攻撃)を可能にする攻撃。
二つ目の脆弱性は、領域外メモリの書き込みでエラーチェックが行わなれないことやヒープオーバーフローだということが確認されています。
今回の2つの深刻なiOS 13.4.1の脆弱性は、「システムコールの戻り値を正しく処理されない」というバグを引き起こす原因となってしまいます。
iOS 6以降iOS 13.4.1のiPhone/iPadOSが攻撃を受けてしまった場合の挙動は以下になります。ゼロクリックでの攻撃やメールアプリがクラッシュするなどの傾向があります。
| バージョン | 攻撃手順 | 攻撃時の挙動 | 攻撃失敗時の挙動 |
| iOS 13 | 特別な操作の必要なし(リモートゼロクリック) (バックグラウンドでアプリが実行) |
一時的に速度低下する | なし |
| iOS 12 | 端末ユーザーがメールアプリをクリックする必要 メールサーバーが把握されている場合はゼロクリック |
メールアプリがクラッシュする | メッセージ「This message has no content」と表示される |
今回発生しているメールアプリの2つの脆弱性についてですが、iOS 13.4.5での修正アップデートにより改善されると言われています。現在、あなたのiPhone/iPadOSがiOS 13.4.5未満であれば、今すぐにiOS 13.4.5にアップデートをしてください。
ただし、一部の端末によってはiOS 13.4.5での修正アップデートを行えない場合がありますので注意をしてください。また、iOS 13.4.5での修正アップデートを利用できない場合の対策法は、つぎで紹介をしていきたいと思います。
ZecOpsによると、脆弱性の修正ができない・修正されるまでは「他社のメールアプリを利用」することを推奨しています。
純正のメールアプリの利用を停止して、他のメールアプリを使って攻撃を受けないようにしてください。