今週、@ElcomSoft のTwitter アカウントが、iOS または iPadOS 14.4 ~ 14.8 を実行している A11 ~ A13 端末用の動作するフォレンジック ツールキットと思われるスクリーンショットを共有したことから、iOS ソフトウェア セキュリティに関する開発のニュースが浮上しました。
このようなデジタルフォレンジックツールキットは、攻撃者が対応端末上でファイルシステムやキーチェーンのデータを強制的に抽出することを可能にします。パスコードで保護されたデバイスが関与する捜査において、法執行機関によって頻繁に使用されています。
このツールはユーザーにファイルシステムへのフルアクセスを許可するため、エクスプロイトを利用して暗号化セキュリティを回避し、ルートファイルシステムへのアクセスを提供することになります。脱獄ツールも同様の手法を用いてエンドユーザーにルートアクセスを提供しますが、これはデジタルフォレンジック&インシデントレスポンス(DFIR)にエクスプロイトが利用されている例であり、全く異なる概念とエクスプロイトの活用方法です。
Twitterユーザーがこの発表に反応し、@ElcomSoftは、同社のフォレンジックツールキットで使用されているエクスプロイトに基づく脱獄ソフトをリリースする予定はないと認めた。これは、このエクスプロイトが脱獄に利用できるほど強力であるものの、それが同社のビジネスモデルの一部であるため、エクスプロイトを自社内でのみ公開することを示唆しているようだ。
このようなフォレンジックツールキットは通常、法執行機関を含む第三者に販売されます。より大きな懸念は、活動家やジャーナリストなどの著名なiPhoneユーザーを監視するために使用されたスパイウェアの一種が関与したNSO Groupの事件のように、悪意のある者の手に渡り、ユーザーを搾取する目的で利用されることです。
プライバシーへの影響が大きいため、これらのツールはしばしば否定的な注目を集めます。フォレンジックツールキットはファイルシステムとキーチェーンへの完全なアクセスを許可するため、デバイスのキーチェーン機能に保存されている被害者の個人データやログイン認証情報が攻撃者に漏洩される可能性があります。
このようなデータ抽出から身を守る方法の一つは、ファームウェアを最新の状態に保つことです。このツールは、iOS 14.4~14.8を搭載した一部のデバイスのみをサポートしているようです。脱獄者にとっては残念なことに、iOS 14.8.1またはiPadOS 14.8.1を搭載したcheckra1n対応デバイスをお持ちでない限り、現時点では言うほど簡単ではありません。
A11~A13の端末には、iPhone 8からiPhone 11 Proまでのデバイスが含まれます。新しい端末は、このフォレンジックツールキットの対象にはなりません。
