NSOのBLASTPASS解剖:ゼロクリックiOSエクスプロイト
2025-03-27
Google Project ZeroチームのIan Beerは、NSOグループによるiMessageエクスプロイトであるBLASTPASSの分析の詳細を説明しています。このゼロクリック攻撃チェーンは、PassKit添付ファイルに偽装した悪意のあるWebP画像を利用して、iMessageサンドボックスをバイパスしました。損失のないWebP形式のHuffmanコーディングの脆弱性を悪用することで、攻撃者はメモリ破損を引き起こしました。MakerNote EXIFタグ内の高度な5.5MBのbplistヒープグルーミングにより、TIFF画像のレンダリング中にメモリ上書きが容易になり、偽造されたCFReadStreamのデストラクタがトリガーされ、悪意のあるコードが実行されました。この攻撃は、ImageIOとWalletの脆弱性を巧みに悪用し、BlastDoorサンドボックスとポインタ認証コード(PAC)をバイパスしました。ASLR情報の開示にはHomeKitトラフィックが使用された可能性があります。この分析は、使用された複雑な手法を示しており、堅牢なサンドボックスメカニズムと、削減されたリモート攻撃サーフェスの必要性を強調しています。