かなりやばい やつが出てきました。
怪しいサイトには、絶対に近づかないように
すべてのiPhoneおよびiPadや2020年以降に登場したApple Silicon搭載Macが対象となる攻撃手法「iLeakage」がジョージア工科大学の研究チームによって発見されました。iLeakageを悪用するウェブサイトにアクセスした場合、ウェブサービスのパスワードやメールなどの情報を盗み出されてしまいます。
iLeakage
https://ileakage.com/iLeakageは必要になる可能性のある処理を事前に行うことでCPU性能の向上を図る技術「投機的実行」を悪用するタイプの攻撃で、iPhoneやiPadに搭載されているAシリーズチップおよびMacや一部のiPadに搭載されてるMシリーズチップに対して有効です。このため、すべてのiPhoneおよびiPadと2020年以降に登場したMacはiLeakageによる攻撃の対象となり得ます。
iLeakageは「ウェブサイトに悪意あるコードを仕込み、ウェブサイトにアクセスしたユーザーの行動を追跡して情報を盗み取る」という手順で攻撃を実行します。実際にiLeakageを用いたウェブサイトを介してInstagramのIDとパスワードを盗み出す様子を記録したムービーが以下。
iLeakage Demo 1: Attacking Instagram and LastPass - YouTube
ムービー内にはSafariを起動した状態のMacBookが映っており、Safariでは「iLeakageを用いたウェブサイト」が開かれています。この「iLeakageを用いたウェブサイト」には「ウィンドウ内をクリックすると新しいタブでInstagramを開く」という機能が組み込まれています。
ユーザーがウィンドウ内をクリックすると新しいタブでInstagramが開かれ、パスワード管理ツールによってIDとパスワードが自動入力されます。
しばらく待つと、「iLeakageを用いたウェブサイト」にInstagramのIDとパスワードが表示されました。デモムービーでは画面上にIDとパスワードが表示されただけですが、この攻撃が悪用された場合、攻撃者はIDとパスワードをそのまま盗み出せるというわけです。
以下のムービーには、「iLeakageを用いたウェブサイト」をiPadのSafariで開くことによってGmailで受信したメールの件名が盗み出される様子が記録されています。
続きはこちらから👇
iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり - GIGAZINE
https://gigazine.net/news/20231026-ileakage-iphone-ipad-mac/
2023年10月26日 11時01分
スポンサーリンク
これは、かなり深刻な問題で
macOS Ventura以前のOSを使っている場合、研究チームはmacOS Sonomaへアップデートすることを推奨しています。また、記事作成時点ではiPhone向けの軽減策は公開されていません。
ということなので アップルからのアップデート待ちです。
それまでは、
やばそうな?サイトにはアクセスしないように注意しましょう。
実際にどのように取得されてしまうのか 動画も出ているので参考までに掲載しましたので時間のある方は確認してみてください。
iLeakage Demo 2: Gmail Inbox on Mobile Safari - YouTube
Leakage Demo 3: YouTube Watch History on iOS Chrome - YouTube
