iOSやmacOSのソースコード、脆弱性により外部からのアクセスが可能になっていた

 
システムの脆弱性により、iOSやmacOSのソースコードが外部に対して「オープン」な状態となっていたことが、セキュリティ研究チームの調査で明らかになりました。

iCloudのSSRF脆弱性を発見

セキュリティ研究者のサム・カリー氏ら5人で構成されるチームはAppleのバグ懸賞プログラムにエントリーし、3カ月間でセキュリティに関連した55種類の脆弱性を発見しました。このうち11種類は深刻なものであったと報告されています。
 
この11種類のなかでも、カリー氏が「非常に見つけにくかった」バグであるとし、アプリ開発者のスティーブ・トラウトン＝スミス氏（@stroughtonsmith）が「衝撃的だ」と評しているのが、「iCloudのサーバーサイドリクエストフォージェリ（SSRF）脆弱性」です。
 

This is shocking; Apple's source repo, including the source to possibly everything in iOS and macOS, was wide open to the public-facing internet via a Pages web app vulnerability https://t.co/fxnNnOHkGf pic.twitter.com/TwPUQ72xxd

— Steve Troughton-Smith (@stroughtonsmith) October 8, 2020

iOSやmacOSのソースコードにアクセス可能だった

簡単にいうと、Appleの文書作成アプリ「Pages」Web版の脆弱性により、iOSやmacOS、その他アプリのソースコードを含むAppleの内部リポジトリが、外部からアクセス可能な状態になっていたのです。
 
つまりハッカーらがiOSやmacOSなどのソースコードにアクセスし、読むだけでなくPagesファイルに保存し、ダウンロードもできるようになっていたとのことです。
 
実際カリー氏らセキュリティ研究チームは、Githubリポジトリに、Appleの内部リポジトリにアクセスするためのURLが保管されているのを発見しています。
 
カリー氏らはこの深刻な脆弱性を発見し次第すぐにAppleに報告しているため、現在はこの問題は修正されています。
 
 
Source:Sam Curry via Steve Troughton-Smith(@stroughtonsmith)/Twitter
(lunatic)