APP下载

iOS 14.5将加入零点击攻击防御技术

发布于2021-02-23 15:50:27

示意图,图片来源/苹果

Motherboard报导,苹果在即将释出的iOS 14.5加入一些安全变更,来提升防御零点击(zero-click)攻击,进而减少iPhone被接管的风险。

最新iOS更新版14.5版即将在春天释出,并有一些安全研究人员迫不及待下载beta版本进行拆解。报导引述Zimperium研究人员Adam Donefeld指出,经过逆向工程,显示iOS 14.5扩大指针验证程式码(Pointer Authentication Codes,PAC)的防护对象,可提升零点击攻击的部署难度。

所谓零点击攻击是指不需要使用者互动而执行攻击,往往能让骇客取得iPhone的控制权。

苹果于2018年加入PAC,根据苹果最新安全指引,它使用5组128-bit密码值签发执行指令和资料,每个使用者空间(user space)行程都有不同的B key。iOS系统软件和内建的App都使用PAC防止函数指标及回传的位址被变更。简而言之,PAC是用于防止骇客注入恶意程式码开采内存毁损漏洞。

不过直到iOS 14.5之前,PAC保护范围尚不包含ISA pointer。ISA pointer角色是告诉程式物件执行时使用哪些程式码。在ISA pointer也开始使用PAC后,即可以密码学签发、验证这些pointers,防止恶意程式窜改pointer来操控系统内的物件。Donefeld指出,过去iOS上的沙箱逃逸及零点击攻击都是可以利用这些物件达成。

苹果也证实这项变更的确可使零点击攻击难度高,但该公司也表示,iOS靠的是使用多种防御方法,而非单一技术。

但是报导也引述知名越狱工具开发人员Jamie Bishop指出,因为iOS总有别的漏洞,不论是在PAC或是其他地方,骇客也可能采完全不同的攻击策略,一个有决心的攻击者还是有很多方法找到破绽来执行攻击。他指出,这项方法仅仅提升零点击攻击的难度,不能100%预防,但对骇客来说的确是增加了攻击的成本。

相关文章

最新资讯

  • 海信电视玩体感游戏需要买手柄吗,当贝Z1 Pro让你玩到真正的体感游戏
    2021-02-25 11:45
  • 直播预告|智能数字现实助力智慧园区运营智能高效
    2021-02-25 10:49
  • 科大讯飞发力智慧教育硬件:讯飞口袋打印机化…
    2021-02-25 10:49
  • 徐起:骁龙 888 旗舰 realme GT 起售价低于 29…
    2021-02-25 10:49
  • 广州华多网络科技有限公司:春节过后,你的钱…
    2021-02-25 08:48

手机

  • 欢太伴随万物互融而生 创新互联网综合服务
    2021-02-24 09:45
  • 无线耳机大比拼 OPPO Enco X和荣耀 Flybuds 3该怎么选择
    2021-02-24 09:45
  • 欢太科技为未成年人成长护航 倡议家长对手机应用加密
    2021-02-20 10:44
  • 骁龙888性能加持,iQOO 7玩手机游戏体验不同以往
    2021-02-07 12:46
  • 骁龙888旗舰iQOO 7:鲁大师安兔兔1月性能排行均位列榜首
    2021-02-07 11:45

数码

  • 攀升27 英寸 2K显示器高达联名款降价 售价1899元
    2021-02-25 11:45
  • 华为mate x2价格17999元起 今天上午10:08 正式开售
    2021-02-25 11:45
  • 联想发布YOGA 14s 2021标压版:10nm野兽释放38…
    2021-02-25 09:53
  • 华为电视玩体感游戏,仅需一款当贝Z1 Pro让你…
    2021-02-25 09:53
  • 苹果提高外壳生产标准 加剧iPhone5短缺局面
    2019-02-28 23:48

科技

  • 苹果发出内部备忘录 警告员工不得再向外泄露机密
    2018-04-17 07:32
  • HMD将在4月27日于中国发布全新一代诺基亚X
    2018-04-17 07:32
  • 苹果准备针对电池鼓包问题的AppleWatchSeries2提供免费维修
    2018-04-17 07:32
  • 2021牛年元宵节趣味灯谜及答案大全 吸引人元宵节花灯猜谜
    2021-02-25 10:44
  • 刚喝完可乐是刷牙还是漱口?今天蚂蚁庄园课堂答案
    2021-02-25 09:45