水曜日の 37c3 カンファレンスのステージに立って研究結果を議論し、arm64e デバイス (A12 ~ A16、場合によっては A17) 向けの KTRR バイパスを披露すると述べていた Kaspersky のグループは、予定通り今朝まさにそれを実行しました。
以下に、チームがどのような結論に至ったかについて簡単に概要を説明しますが、プレゼンテーションを自分で視聴したい場合は、ぜひ視聴してください。
Boris Larin ( @oct0xor )、Leonid Bezvershenko ( @bzvr_ )、Georgy Kucherin ( @kucher1n )で構成されるこのグループは、自分たちと同僚がマルウェアの標的になった経緯と、その詳細を知るために慎重な三角測量とリバース エンジニアリングの手法でどのように対応したかについて、興味深いストーリーを共有しました。
Wi-Fiネットワークに接続されたiOSデバイス間で予期せぬ通信が発生するという奇妙な挙動を観察した後、彼らは興味をそそられ、さらに深く調査することにしました。その結果、悪意のあるiMessageによって引き起こされる可能性のある攻撃を発見しました。
攻撃者は、カスペルスキーチームが何が起こっているのかを知る手がかりとなるiMessageや資産の痕跡をすべて削除することで足跡を隠そうとしたようだが、重大なミスを犯した。すべての痕跡を削除しなかったのだ。
カスペルスキーチームはその後、トラフィックを傍受するためのサーバーを設置し、その後、トラフィックを復号化してフォレンジック分析で調査できるようにしました。この方法により、攻撃者のメールアドレスを入手し、攻撃の仕組みについてより詳細な情報を得ることができました。
KTRR バイパスが登場しました。これは、カーネル テキスト読み取り専用領域にあるカーネル メモリへのアクセスを防ぐために Apple が導入したセキュリティ緩和策を回避する方法であり、完全なエクスプロイト チェーンで活用して脱獄を行うことができます。
KTRRバイパスはハードウェアベースであるため、Appleはソフトウェアアップデートで修正することができません。Appleができることといえば、応急処置でこれを隠蔽することくらいですが、それだけでは脱獄を企む開発者を長期間阻止するには十分ではないでしょう。
念のため申し上げますが、KTRRバイパスはハードウェアベースですが、checkm8のようなハードウェアベースのブートROMエクスプロイトとは異なります。しかし、ハードウェアベースであるため、影響を受ける端末で何度でも繰り返し使用でき、新たな脱獄ツールを作成することができます。
Appleは、今後のiPhoneのハードウェアにKTRRバイパスの脆弱性がないよう調整を加える可能性が高い。しかし、そうすることで既に流通している多くのデバイスが修正されるわけではないため、今回の件は非常に重要な意味を持つ。
最近のソフトウェア アップデートでは、カスペルスキー チームが本日詳細に説明した独自の攻撃が明らかに修正されていますが、影響を受けるデバイス タイプやファームウェアを使用している人であれば、多少のノウハウがあれば、チームのオープン ソース ツールを使用して、自分のデバイスが、チームが受けたものと同じ攻撃によって侵害されているかどうかを確認することができます。
現時点では、カスペルスキーチームによるKTRRバイパスはまだ公表されていませんが、近いうちに変更される見込みです。このバイパスは、iOS & iPadOS 16.6より前のすべてのファームウェア(iOS & iPadOS 16.5.1以前を含む)に対応しています。さらに、このバイパスはarm64eデバイス(A12~A16、おそらくA17も、ただし後者は未確認)でのみ機能します。
KTRR バイパスがどうなるかは興味深いところです。誰もが諦めかけていたときに、さらに数シーズンの脱獄をもたらす可能性があるからです。
![Vendetta OnlineがiPadで利用可能に[レビュー]](https://image.milawo.com/kabmbfjj/14/b3/Vendetta-Online-1.webp)
