La próxima actualización de Apple para iOS y iPadOS 14.5 dificultará los ataques sin hacer clic al expandir las reglas de seguridad de PAC. tarjeta madre.
Apple ha realizado un cambio en su código en la última versión beta de iOS 14.5 y iPadOS 14.5 de una manera que hace que los ataques con cero clics sean mucho más difíciles. Este cambio, descubierto por los analistas de seguridad, ahora ha sido confirmado por Apple y se incluirá en la actualización final.
Los ataques de cero clic permiten a los piratas informáticos llegar a un objetivo sin la participación de la víctima, como hacer clic en un enlace de phishing malicioso. Por lo tanto, los ataques de cero clic son muy difíciles de encontrar en los usuarios objetivo y se consideran muy complejos.
Apple ha estado utilizando códigos de autorización de puntero (PAC) desde 2018 para evitar que los atacantes ingieran memoria dañada para inyectar código malicioso. La criptografía se utiliza para reconocer punteros y verificarlos antes de que se utilicen. Los punteros ISA le indican qué código utilizar al ejecutar un programa en iOS. Al usar el cifrado para firmar estos punteros, Apple ahora extiende la protección PAC a los punteros ISA.
«Hoy en día, dado que el puntero está firmado, es difícil distorsionar estos punteros para manejar objetos en la computadora. tarjeta madre. Este cambio «hace que los clics cero sean más difíciles, por supuesto. Sandbox también se escapa. Significativamente más difícil». Las cajas de arena están destinadas a aislar las aplicaciones entre sí al detener el código de un programa que interactúa con el sistema operativo.
Aunque este cambio no destruirá los clics cero, muchas de las vulnerabilidades utilizadas por los piratas informáticos y las agencias gubernamentales ahora se «perderán irreversiblemente». Los piratas informáticos ahora tendrán que encontrar nuevas estrategias para llevar a cabo ataques sin hacer clic en el iPhone y el iPad, pero las mejoras de seguridad de los indicadores de ISA podrían tener un impacto significativo en el número total de ataques en estos dispositivos.