高度に洗練された攻撃と呼ばれているこの攻撃では、ハッカーグループが合計11件のゼロデイ脆弱性と多数の侵害されたWebサイトを活用し、完全にパッチが適用されたiOS、Windows、Android搭載デバイスに感染させました

Google社のProject Zeroチームのブログによると、このハッキングは2020年2月に始まり、少なくとも8カ月間にわたって行われ、その手法、脆弱性の種類、攻撃経路は多岐にわたっています

ArsTechnicaが報じたように、最初の4つのゼロデイでは、Chromeが動作するAndroidおよびWindowsマシンが標的となりました

その後、ハッキングチームは8ヶ月間で範囲を広げ、iOSとSafariに影響を与える7つの脆弱性を攻撃対象としました

また、アクセスしたデバイスやウェブブラウザに応じて異なる脆弱性を利用するために、水飲み場のようなサイトが利用されました

また、ゼロデイを発見して悪用するだけでなく、セキュリティパッチが適用された後も、新たな攻撃を素早く展開することができました

このような柔軟性は、利用可能な脆弱性の深さだけでなく、ハッカーたちのスキルレベルを示すものであると報告書は述べています

「全体的に見て、それぞれのエクスプロイト自体が、エクスプロイトの開発と悪用されている脆弱性について専門家の理解を示していました、Chrome Freetype 0-dayの場合、この手法はProject 0にとって新しいものであった」とProject 0の研究者Maddie Stoneは書いています

また、「iOSカーネル権限の脆弱性を引き起こす方法を見つけるプロセスは、簡単ではなかったでしょう、難読化の方法は様々で、理解するのに時間がかかりました」

ArsTechnicaが指摘しているように、最新のオペレーティングシステムに組み込まれた防御の層を突破するためには、一連のエクスプロイトが必要でした

Apple社は、iOSのセキュリティホールを修正するためのアップデートを定期的に発行しており、最新のアップデートは3月8日にリリースされたiOS 14.4.1です

(Via Apple Insider.)