セキュリティ研究者の@_simo36 が金曜日に共有したツイートで、多くの人の注目を集めました。そのツイートには、iOS および iPadOS 15 と macOS 12 の一部のバージョンでカーネル メモリの読み取りおよび書き込み機能を実現する WeightBufs と呼ばれるエクスプロイト チェーンの概念実証 (PoC) が含まれているようです。
ツイートの中で、@ _simo36は、エクスプロイトに関するすべての情報だけでなく、POC2022 で行ったプレゼンテーションのスライドも含まれている GutHub ページを指しています。
どうやら、このエクスプロイト自体は、Neural Engine搭載デバイス(A11以降)のiOS 15(iOS 16まで)の全バージョンに対応しているようです。ただし、iOS 15.6ではサンドボックスからの脱出に関するパッチが適用されており、WeightBufsハッキングに使用されたエクスプロイトチェーンが破壊されています。そのため、完全なエクスプロイトチェーンは現時点ではiOS 15.0~15.5およびmacOS 12.0~12.4でのみ実行可能です。
上記の問題は、今日の脱獄に影響を与える核心的な問題の一つを浮き彫りにしています。つまり、カーネルエクスプロイト自体よりも、脱獄技術が重要になっているということです。AppleがiPhoneとiPadのセキュリティを強化し続けているため、最新のiOSやiPadOSファームウェアでは、単一のカーネルエクスプロイトだけでは脱獄できません。そのため、脱獄開発者は、脱獄を実現するだけでも、バイパスやサンドボックスからの脱出といった追加のリソースを必要とします。こうしたメカニズムを全て操作するロジックこそが、脱獄技術を構成するのです。
@_simo36のエクスプロイト チェーンでは、Apple にすでに報告されている少なくとも 4 つの異なる脆弱性が利用されており、その中には次のものが含まれます。
- CVE-2022-32845: model.hwx の署名チェックのバイパス。
- CVE-2022-32948:配列インデックスの検証が不足しているため、DeCxt::FileIndexToWeight() OOB 読み取りが発生します。
- CVE-2022-42805: ZinComputeProgramUpdateMutables() の整数オーバーフロー問題による潜在的な任意の読み取り
- CVE-2022-32899: DeCxt::RasterizeScaleBiasData() 整数オーバーフローの問題によるバッファ アンダーフロー。
現在、@_simo36 は、次のデバイスとファームウェアの組み合わせでエクスプロイト チェーンを正常にテストしたと述べています。
- iOS 15.5 を実行している iPhone 12 Pro (iPhone 13,3)
- iPadOS 15.5 を実行している iPad Pro (iPad 8、10)
- iOS 15.4.1 を実行している iPhone 11 Pro (iPhone 12,3)
- macOS 12.4 を実行している MacBook Air (10.1 インチ、M1 チップ搭載)
皆さんが抱いている切実な疑問は、「これは脱獄に使えるのか?」ということでしょう。その質問に対する簡単な答えは「ノー」です。なぜなら、これはより大きなパズルの1ピースに過ぎず、脱獄システムを構築し、エンドユーザーのデバイスで実行できるようにするには、さらに多くの作業が必要だからです。
それでも、この概念実証は見事なハッキングの素晴らしい例であり、複数の脱獄チームがバックグラウンドでiOSおよびiPadOS 15の脱獄を開発しているため、これがパズルの完成を早めるのに役立つことを期待するしかありません。
実際、TrollStore開発者の@opa334のように、一部の開発者は既にこれをプロジェクトに組み込む方法を検討しており、TrollNonceの強化に活用できる可能性があります。ただし、TrollStoreは既にサポートされているファームウェアよりも新しいものをサポートすることはないことに注意してください。
新しいエクスプロイトチェーンがどうなるか楽しみですか?ぜひ下のコメント欄で教えてください。
