先週木曜日、侵入者がAppleの開発者ウェブサイトから個人情報を盗み出そうとしました。Appleは直ちに開発者センターをオフラインにし、本稿執筆時点でもまだダウンしています。これは、このような事態が再発しないようシステムを再構築するためです。
しかし、一体どのようにして起きたのでしょうか?今回の障害の責任を主張しているトルコのセキュリティ研究者、イブラヒム・バリッチ氏によると、彼は最近リリースされたiAd Workbenchソフトウェアで発見した脆弱性を利用してAppleのサーバーに侵入できたとのことです…
TechCrunchのクリス・ベラスコがバリック氏に話を聞いたところ、バリック氏はFacebookなどのサイトでバグを発見した後、最近Appleに注目し始めたという。そして、7月16日に調査を開始して以来、13件もの新たなバグをiPadメーカーに報告しており、その成果は実に順調だ。
しかし、特に注目を集めている脆弱性が1つあります。それはバグ番号14488816です。Balic氏は自身の動画(現在は非公開)でこの脆弱性を取り上げ、開発センターがダウンする数時間前の7月18日にAppleに報告したと主張しています。
この小さなセキュリティ問題は、AppleのiAd Workbenchに起因しています。これは最近リリースされたツールで、ユーザーはiAdキャンペーンを作成してターゲティングし、iOSアプリの宣伝効果を高めることができます。Balic氏は、Workbenchを実行するサーバーに送信されるリクエストを操作することで、アカウントに新規ユーザーを追加できることを発見しました。そこから、ファーストネーム、ラストネームなど、何でも入力してみると、サーバーはフルネームとメールアドレスで応答します。Balic氏は問題の全容を理解した後(ここが彼の理論的な説明が私には少し腑に落ちないのですが)、見つけられる限りのデータをスクレイピングするPythonスクリプトを作成し、その一部をYouTubeで公開しました。
開発センター自体については、Balic氏は7月16日にAppleにバグレポート(#14461474)を提出し、開発センターのストアドXSS攻撃に対する脆弱性を指摘しました。Balic氏によると、この問題を悪用することでユーザーデータにアクセスすることは技術的には可能だったものの、実際に試したことはないとのことです。
イブラヒム氏は悪意はなかったと断固として主張しており、Appleがクレジットカード情報やその他の機密情報が漏洩していないことを確認していることは注目に値する。しかし、開発者センターがいつまでダウン状態が続くかは依然として不明だ。
