1: 名無しさん@涙目です。(大阪府) [US] 2023/11/30(木) 08:54:32.75 ID:BLNot47b0● BE:323057825-PLT(13000)
米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices」は、
Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告である。
【画像を見る】被害者のスマートフォンは操作できないため、Googleメッセージ経由で2要素認証トークンを復元する様子(全2枚)
この攻撃は、最近発売されたM3チップを搭載した新型MacBook Proでも成功し、ソフトウェアの更新状況に関わらず、Apple製品にとって依然として脅威であることを示した。
「iLeakage」と呼ばれるこの攻撃は、攻撃者がSafariブラウザに任意のWebページを表示させ、投機的実行を用いてそのページ内に存在する機密情報を回復できるというものだ。
macOSまたはiOSデバイスがiLeakageが仕込まれたWebサイトを訪れると、攻撃者は選択した別のWebサイトをひそかに開き、ウィンドウでレンダリングされるサイトの内容を回収できる。
研究チームは、Instagramのログイン情報の復元、Gmailの受信トレイの復元、YouTubeの視聴履歴の復元をデモで実演し、この脆弱性を実証した。
この脆弱性は、AシリーズとMシリーズ(M1、M2)のチップが搭載された2020年以降にAppleが製造したの全てデバイス(iPhone、iPad、ラップトップ、デスクトップ)を対象としている。
またSafariブラウザだけでなく、iPhoneやiPad上で実行されている全てのブラウザ・アプリを標的としている。
新MacBook Pro(M3)でも機密情報が漏えい 2020年以降のApple製品全てに脆弱性 米国チームが発表
https://news.yahoo.co.jp/articles/0fce52381f48cc8f49d94dc9671d0425bf03fd89
2: 名無しさん@涙目です。(庭) [US] 2023/11/30(木) 08:56:19.74 ID:m06T3T8D0
8の俺セーフ
3: 名無しさん@涙目です。(兵庫県) [US] 2023/11/30(木) 08:57:38.26 ID:3ic3V9b40
もしかしてAmazonのログイン情報が盗まれてるのってAppleが原因じゃね?
あれ正規のサイトなのに盗まれたって話よな
33: 名無しさん@涙目です。(日本のどこか) [KR] 2023/11/30(木) 11:45:58.74 ID:0lWaqmje0
>>3
この手法だとあり得る話だな
となると現時点でiPhoneは世界で最もリスキー端末だな。
4: 名無しさん@涙目です。(ジパング) [US] 2023/11/30(木) 09:03:39.97 ID:4PyrLHED0
ここ数日paypalからスマホに身に覚えのないワンタイムパスワードが送られ続けてるんだが?
5: 名無しさん@涙目です。(庭) [ニダ] 2023/11/30(木) 09:04:49.48 ID:Fl1vVFnx0
林檎信者が誇らしげにしていた独自CPUなのにどうして…
21: 名無しさん@涙目です。(北海道) [CL] 2023/11/30(木) 10:29:10.43 ID:nolIYDAd0
>>5
CPUの脆弱性と違うで🤭
26: 名無しさん@涙目です。(茸) [ニダ] 2023/11/30(木) 11:02:22.59 ID:G4JYElUy0
>>21
いやそうだろ
40: 名無しさん@涙目です。(北海道) [CL] 2023/11/30(木) 13:49:34.51 ID:nolIYDAd0
>>26
どう読んでもSafari(WebKit)の脆弱性で
CPUの問題では無いなぁ😅
6: !omikuji(長崎県) [PR] 2023/11/30(木) 09:06:25.18 ID:avrdnjhN0
ブラウザのセキュリティ強化で解決できるのかね?
8: (東京都) [JP] 2023/11/30(木) 09:13:22.62 ID:ehltK30w0
Appleは安全ーーーーっ!!
9: 名無しさん@涙目です。(茸) [ニダ] 2023/11/30(木) 09:17:13.54 ID:cMyYAR1w0
エロ専iPadはA10だから大丈夫だな!
10: 名無しさん@涙目です。(愛知県) [US] 2023/11/30(木) 09:17:21.93 ID:3UzXooKd0
Chrome使ってるから問題ない。Safari苦手なんだよなあ。
13: 名無しさん@涙目です。(東京都) [ニダ] 2023/11/30(木) 09:24:17.98 ID:MsV8D6d+0
>>10
>またSafariブラウザだけでなく、iPhoneやiPad上で実行されている全てのブラウザ・アプリを標的としている。
11: 名無しさん@涙目です。(やわらか銀行) [TW] 2023/11/30(木) 09:17:27.14 ID:teCdSGOQ0
いまだにIntel Mac使ってる俺が勝利したか
12: 名無しさん@涙目です。(ジパング) [JP] 2023/11/30(木) 09:18:25.33 ID:WxeLoGJi0
諸悪の根源JavaScript
14: 名無しさん@涙目です。(東京都) [ニダ] 2023/11/30(木) 09:36:01.23 ID:b6Q544eU0
知ってた
15: 名無しさん@涙目です。(茸) [US] 2023/11/30(木) 09:47:56.54 ID:67Pxxd/t0
これは仕様だろ?
16: 名無しさん@涙目です。(やわらか銀行) [US] 2023/11/30(木) 09:50:39.45 ID:rHJDyrVD0
ARM全体の脆弱性ではないのか?
17: 名無しさん@涙目です。(庭) [ニダ] 2023/11/30(木) 09:58:23.65 ID:Fl1vVFnx0
>>16
それだとスナドラも影響受けるんじゃないの
18: 名無しさん@涙目です。(やわらか銀行) [JP] 2023/11/30(木) 10:00:19.27 ID:+C/1ljK50
M3に限らず投機的実行が原因のセキュリティホールが多すぎるな。人類には早すぎたんだ。
19: 名無しさん@涙目です。(東京都) [US] 2023/11/30(木) 10:07:31.66 ID:VlIM5vLk0
iOSは他社製品ブラウザエンジン許してないもんな
firefoxもiOS版は皮だけだし
なぜ独禁法引っかからないのか不思議
22: 名無しさん@涙目です。(埼玉県) [US] 2023/11/30(木) 10:30:45.56 ID:9KuDAkSu0
Firefox使ってるけど、これ対策はどうなるだろう
23: 名無しさん@涙目です。(千葉県) [US] 2023/11/30(木) 10:31:05.48 ID:Ynema8m/0
Appleでしか使ってないメールアドレスに詐欺メールが来たんだが(´・ω・`)
24: 名無しさん@涙目です。(庭) [CN] 2023/11/30(木) 10:50:36.69 ID:ADoZuBk10
チップ交換しないと対策できないんなら
実質M1~M3は全部ゴミだわな
27: 名無しさん@涙目です。(庭) [BR] 2023/11/30(木) 11:14:03.76 ID:8Mqstvyk0
大変だPixelにしようw
28: (埼玉県) [US] 2023/11/30(木) 11:16:55.01 ID:fTnSu2Zk0
バックドアが仕込まれていたのか? よく分からないけど
29: 名無しさん@涙目です。(やわらか銀行) [KR] 2023/11/30(木) 11:17:33.47 ID:N0pH1C1+0
インテルでもAMDでも同じような脆弱性あるよな
Downfallだっけか
避けられんのかねこれ
30: 名無しさん@涙目です。(庭) [DE] 2023/11/30(木) 11:32:51.79 ID:jATTvDN80
これGoogle側がネガキャンのためにあら捜ししたとかじゃないよね?
まぁ悪いとこあぶり出してくれるならお互いにやってほしいけど。
31: 名無しさん@涙目です。(ジパング) [ニダ] 2023/11/30(木) 11:33:25.32 ID:p5X+ybWT0
少し前までiPhoneなら個人情報セキュリティばっちり的なCMやってたな
32: 名無しさん@涙目です。(ジパング) [ニダ] 2023/11/30(木) 11:45:28.40 ID:lUI4Tt3o0
Androidは放置だけどiPhoneはちゃんとアップデートしてくれる
そこが違う
34: 名無しさん@涙目です。(ジパング) [ニダ] 2023/11/30(木) 12:12:31.05 ID:73uU5p/40
「バレたか…」(・д・)チッ
35: 名無しさん@涙目です。(ジパング) [ID] 2023/11/30(木) 12:13:04.32 ID:gLuPqFMT0
Chrome使ってるけどブラウザ全般ダメなのか
36: 名無しさん@涙目です。(埼玉県) [US] 2023/11/30(木) 12:15:04.32 ID:9KuDAkSu0
>>35
iOSの話であればともかくmacOSだとFirefoxやChromeは別だと思いたい
でも手法が見つかってないだけかもね
37: 名無しさん@涙目です。(大阪府) [FR] 2023/11/30(木) 12:20:01.55 ID:SbXJSdZZ0
>>36
1をよく読め
38: 名無しさん@涙目です。(埼玉県) [US] 2023/11/30(木) 12:22:48.93 ID:9KuDAkSu0
>>37
うひゃあブラウザ全部って書いてあった…
45: 名無しさん@涙目です。(埼玉県) [US] 2023/12/01(金) 06:48:33.60 ID:lhHdMZdh0
>>38
SafariのJavaScriptエンジンを活用してるから、それ以外のJavaScriptエンジンは、今のところ問題ない。
39: 名無しさん@涙目です。(東京都) [FR] 2023/11/30(木) 13:15:45.31 ID:slOW4tvK0
わずか38レスで3人も「ブラウザに関わらず」と書いてあることを見落としてるw
お前らみたいなんがこういう脆弱性の餌食になるんやで
41: 名無しさん@涙目です。(茸) [US] 2023/11/30(木) 15:14:26.15 ID:loSqX8zc0
メジャーなブラウザはすぐ狙われるからなぁ
46: 名無しさん@涙目です。(茸) [US] 2023/12/02(土) 11:01:23.58 ID:/ZeRSWPd0
アップデート来てたけど直るんか?
48: 名無しさん@涙目です。(埼玉県) [US] 2023/12/02(土) 13:20:07.42 ID:vSsa+a+D0
>>46
Safariのアップデートだから、とりあえず既知の手法は塞いだんじゃない
Spectre/Meltdownみたいに派生の穴が見つかるかもしれないが
47: 名無しさん@涙目です。(庭) [SE] 2023/12/02(土) 12:23:05.30 ID:AtSYuVwD0
単に搾取されてることに気付かず安全安全wって言ってるだけなんだよな信者は
49: 名無しさん@涙目です。(兵庫県) [US] 2023/12/02(土) 13:56:39.57 ID:77PCS7990
信者といえど、出来るだけ一次情報を確認して、自分の使い方でのリスク評価をすべきだね。
引用元: ・https://hayabusa9.5ch.net/test/read.cgi/news/1701302072/
コメント