数シーズン以上ジェイルブレーカーとして活動している方なら、Twitter ハンドル@08Tc3wBBに見覚えがあるはずです。これは、iOS および iPadOS への侵入で素晴らしい実績を誇る ZecOps セキュリティ研究者のものです。
ちょうど今週末、@08Tc3wBBが Twitter で、考えさせられるツイートとしか言いようのないものをシェアしました。
このツイートは、ハッカーがiOSおよびiPadOS 15で機能し、任意のコード実行に成功したゼロデイ脆弱性を発見したことを示しています。これは、安全なiPhoneやiPadで実行されるはずのないコードを指すセキュリティ研究用語です。
また、これはゼロデイ脆弱性であるため、Appleが修正を試みる時間が全くなかったことも特筆に値します。つまり、Appleは現在この脆弱性を認識しておらず、まだパッチを当てていないため、iOS 15とiPadOS 15のすべてのバージョンでこの脆弱性がサポートされていることになります。
@08Tc3wBBのゼロデイ脆弱性がジェイルブレイクに役立つかどうかはまだ不明ですが、現時点ではハッカーは当初これを一般に公開する予定はないようでしたが、脆弱性が実用可能であることが判明した場合、状況は変わりそうで、ハッカーが悪意を持って利用するのを防ぐために責任ある開示プロセスに従うと思われます。
Apple が最終的に脆弱性を発見して修正した後、いつか記事とリリースが出るだろうとしか考えられませんが、@08Tc3wBB がこの脆弱性を Apple と共有する予定なのか、それとも多くのセキュリティ研究者がするように個人的に改良するために保持するつもりなのかは不明です。
ちなみに、@08Tc3wBBは過去にカーネルエクスプロイトを公開していますが、それらは明らかに 0 デイレベルのものではありませんでした。
AppleはiOS 15とiPadOS 15に、侵入を困難にする数々の新しいセキュリティ対策を実装しており、今後の展開がどうなるか非常に興味深いところです。それでも、@08Tc3wBBのような有能なハッカーは、必ず侵入方法を見つけてくるようです。
