La mise à jour imminente d'iOS et d'iPadOS 14.5 d'Apple rendra les attaques sans clic considérablement plus difficiles en étendant les dispositions de sécurité PAC, selon Carte mère .
Apple a modifié la façon dont il sécurise son code dans les dernières versions bêta d'iOS 14.5 et iPadOS 14.5 pour rendre les attaques sans clic beaucoup plus difficiles. Le changement, repéré par des chercheurs en sécurité, a maintenant été confirmé par Apple et devrait être inclus dans la mise à jour finale.
Les attaques sans clic permettent aux pirates de pénétrer dans une cible sans avoir besoin d'interaction avec la victime, par exemple en cliquant sur un lien de phishing malveillant. Les attaques sans clic sont donc considérablement plus difficiles à détecter pour les utilisateurs ciblés et sont considérées comme beaucoup plus sophistiquées.
Depuis 2018, Apple utilise des codes d'authentification de pointeur (PAC) pour empêcher les attaquants d'exploiter la mémoire corrompue pour injecter du code malveillant. La cryptographie est appliquée pour authentifier les pointeurs et les valider avant leur utilisation. Les pointeurs ISA indiquent à un programme quel code il doit utiliser lorsqu'il s'exécute sur iOS. En utilisant la cryptographie pour signer ces pointeurs, Apple étend désormais la protection PAC aux pointeurs ISA.
« Aujourd'hui, puisque le pointeur est signé, il est plus difficile de corrompre ces pointeurs pour manipuler des objets dans le système. Ces objets ont été principalement utilisés dans des évasions de bac à sable et des zéro-clics », a déclaré Adam Donenfeld de la société de sécurité Zimperium. Carte mère . Le changement rendra définitivement les zéro-clics plus difficiles. Le bac à sable s'échappe aussi. Beaucoup plus difficile.' Les bacs à sable visent à isoler les applications les unes des autres pour empêcher le code d'un programme d'interagir avec le système d'exploitation au sens large.
Alors que les zéro-clics ne seront pas éradiqués par ce changement, de nombreux exploits utilisés par les pirates et les organisations gouvernementales seront désormais « irrémédiablement perdus ». Les pirates devront désormais trouver de nouvelles techniques pour mettre en œuvre des attaques sans clic sur iPhone et iPad , mais les améliorations de la sécurité des pointeurs ISA sont susceptibles d'avoir un impact significatif sur le nombre total d'attaques sur ces appareils.
Articles Populaires