【セキュリティ】新MacBook Pro（M3）でも機密情報が漏えい　2020年以降のApple製品全てに脆弱性　米国チームが発表

2023年11月30日

1: 香味焙煎 ★ 2023/11/30(木) 08:53:42.85 ID:DA0EiEew9

　米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices」は、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告である。

　この攻撃は、最近発売されたM3チップを搭載した新型MacBook Proでも成功し、ソフトウェアの更新状況に関わらず、Apple製品にとって依然として脅威であることを示した。

　「iLeakage」と呼ばれるこの攻撃は、攻撃者がSafariブラウザに任意のWebページを表示させ、投機的実行を用いてそのページ内に存在する機密情報を回復できるというものだ。macOSまたはiOSデバイスがiLeakageが仕込まれたWebサイトを訪れると、攻撃者は選択した別のWebサイトをひそかに開き、ウィンドウでレンダリングされるサイトの内容を回収できる。

　研究チームは、Instagramのログイン情報の復元、Gmailの受信トレイの復元、YouTubeの視聴履歴の復元をデモで実演し、この脆弱性を実証した。

　この脆弱性は、AシリーズとMシリーズ（M1、M2）のチップが搭載された2020年以降にAppleが製造したの全てデバイス（iPhone、iPad、ラップトップ、デスクトップ）を対象としている。またSafariブラウザだけでなく、iPhoneやiPad上で実行されている全てのブラウザ・アプリを標的としている。

　この発表が10月のことで、今回新たにリリースされたM3チップと最新のmacOS 14.1.1とSafari 17.1を搭載したMacBook Pro上でiLeakageが実行できるかを試したところ、同様の脆弱性を確認できた。

　具体的には、ターゲットのFacebookのパスワードを復元し、その後、Android携帯にSMSで送信された2要素認証（2FA）トークンをGoogleメッセージ経由で復元できることを示した。

ITmedia
2023年11月30日 08時00分
https://www.itmedia.co.jp/news/articles/2311/30/news070.html

引用元: ・【セキュリティ】新MacBook Pro（M3）でも機密情報が漏えい　2020年以降のApple製品全てに脆弱性　米国チームが発表 [香味焙煎★]

2: ウィズコロナの名無しさん 2023/11/30(木) 08:55:26.36 ID:qcVquLJI0

AndroidでSafari使えろ

3: ウィズコロナの名無しさん 2023/11/30(木) 08:55:44.21 ID:NWktsWH20

iphoneなら安心！

4: ウィズコロナの名無しさん 2023/11/30(木) 08:56:15.56 ID:NuazW+Bg0

LINEの流出→「Lあんな韓国企業のLINEなんか使うから…ふじこふじこ」
Appleの漏洩→「…」

5: ウィズコロナの名無しさん 2023/11/30(木) 08:56:46.48 ID:XnavcpFM0

だっさw