Blížící se aktualizace iOS a iPadOS 14.5 od společnosti Apple značně ztíží útoky typu zero-click tím, že rozšíří bezpečnostní opatření PAC. Základní deska .
Apple provedl změnu ve způsobu, jakým zabezpečuje svůj kód v nejnovějších beta verzích iOS 14.5 a iPadOS 14.5, aby byly útoky zero-click mnohem těžší. Změnu, kterou zaznamenali bezpečnostní výzkumníci, nyní potvrdil Apple a má být zahrnuta do poslední aktualizace.
Útoky s nulovým kliknutím umožňují hackerům proniknout do cíle bez nutnosti interakce oběti, jako je kliknutí na škodlivý phishingový odkaz. Útoky s nulovým kliknutím jsou proto pro cílené uživatele podstatně obtížnější odhalit a jsou považovány za mnohem sofistikovanější.
Od roku 2018 používá Apple kódy PAC (Pointer Authentication Codes), aby zabránil útočníkům využít poškozenou paměť k vložení škodlivého kódu. Kryptografie se používá k ověření ukazatelů a jejich ověření před jejich použitím. Ukazatele ISA dávají programu pokyn, jaký kód by měl používat, když běží na iOS. Použitím kryptografie k podepisování těchto ukazatelů Apple nyní rozšiřuje ochranu PAC na ukazatele ISA.
„V dnešní době, protože je ukazatel podepsaný, je těžší tyto ukazatele poškodit, aby bylo možné manipulovat s objekty v systému. Tyto objekty byly používány většinou v sandboxových únikech a nulových kliknutích,“ řekl Adam Donenfeld z bezpečnostní firmy Zimperium. Základní deska . Tato změna „určitě ztíží nulové kliknutí“. Sandbox také uniká. Výrazně těžší.“ Sandboxy mají za cíl izolovat aplikace od sebe navzájem a zastavit kód z programu interagujícího s širším operačním systémem.
Tato změna sice nevymýtí nulová kliknutí, ale mnoho zneužití používaných hackery a vládními organizacemi bude nyní „nenávratně ztraceno“. Hackeři nyní budou muset najít nové techniky, jak implementovat útoky zero-click iPhone a iPad , ale vylepšení zabezpečení ukazatelů ISA budou mít pravděpodobně významný dopad na celkový počet útoků na tato zařízení.
Populární Příspěvky