iOS 14.5 vai acabar com ataques de clique zero
Um ataque de clique zero é um tipo aterrorizante de ataque cibernético para usuários de smartphones, que não exige nada na forma de ataques de engenharia social (como e-mails de phishing) para assumir o controle do dispositivo de uma pessoa. Em vez disso, esses ataques altamente especializados exploram vulnerabilidades que não exigem que o usuário faça nada – tornando os ataques mais difíceis de impedir e detectar.
Embora os ataques de zero clique possam ser raros, eles já foram executados com sucesso antes. Para ajudar a detê-los em suas trilhas, a Apple está reprimindo os métodos de exploração no futuro iOS 14.5.
Revisão de segurança da Apple
Os pesquisadores que examinaram o mais recente beta do iOS – lançado em meados de fevereiro – descobriram que a Apple mudou a forma de proteger o código, escreve o Motherboard . A mudança envolve algo chamado ponteiros ISA. O relatório explica que:
"Desde 2018, a Apple implementou uma tecnologia chamada Pointer Authentication Codes (ou PAC) para proteger os usuários do iPhone de explorações que injetam código malicioso, evitando que os invasores aproveitem a memória corrompida, de acordo com o Platform Security Guide da Apple. Isso é feito usando criptografia para autenticação esses ponteiros e os validam antes de serem usados. Os ponteiros do ISA são um recurso relacionado ao código do iOS que diz a um programa qual código usar quando é executado. Até agora, eles não eram protegidos com PAC, como explicou Samuel Groß do Google Project Zero no ano passado. Usando criptografia para assinar esses ponteiros, a Apple estendeu as proteções do PAC aos ponteiros do ISA. "
Os pesquisadores de segurança dizem que essa mudança tornará muito mais difícil realizar exploits de zero clique, bem como escapes de sandbox. O último se refere a um exploit que permite que código malicioso seja executado a partir de um sandbox, de forma que impacta o sistema fora do ambiente de sandbox isolado.
Conforme observado, os ataques de clique zero são excepcionalmente raros, embora tenham ocorrido na natureza. Muitas vezes são desenvolvidos como uma forma de perseguir um indivíduo de alto perfil. Por exemplo, em 2016, os hackers que trabalhavam para o governo dos Emirados Árabes Unidos usaram o Karma, um código de ferramenta de hacking zero-click para iPhone, para invadir os telefones de centenas de alvos. Em 2020, 36 editores e jornalistas da Al Jazeera foram vítimas de um ataque zero-click no iPhone.
Em breve no iOS 14.5
As novas medidas de segurança da Apple quase certamente serão incluídas como parte do lançamento público do iOS 14.5 quando for lançado para os usuários. Além da medida de segurança de ataque zero-click, outras atualizações do iOS 14.5 incluirão a capacidade de definir um reprodutor de música padrão de sua escolha , a capacidade de desbloquear seu iPhone enquanto usa uma máscara , mais de 200 novos emoji, transparência de rastreamento de aplicativo, e mais.
A Apple ainda não revelou exatamente quando a versão pública do iOS 14.5 será lançada. No entanto, parece provável que seja no final deste mês.
Crédito da imagem: Frederik Lipfert / Unsplash CC