close
(圖 via MacRumors)
具體說來是,該公司添加瞭指針驗證碼(PAC),以保護用戶免受通過內存破壞來註入惡意代碼的攻擊。
在調用之前,系統將會驗證所謂的 ISA 指針,後者是一種告知 iOS 程序要運行什麼代碼的安全特性。
一位研究人員指出,其在 2 月初的反向工程工作期間,發現瞭 iOS 14.5 Beta 測試版本中引入的這項新變化。
與此同時,蘋果還在 2 月 28 日公開發佈的新版《平臺安全性指南》中分享瞭有關 PAC 的一些細節。
研究人員向 Motherboard 表示,這項安全性緩解措施,將使得零點擊漏洞的利用過程變得更加難以實現。
這類攻擊特指攻擊者無需用戶進行任何幹預,即可對 iPhone 發起入侵,甚至通過復雜的技術手段,從 iOS 內置隔離的沙盒安全機制中逃逸。
蘋果發言人亦在接受外媒采訪時稱,該公司相信這項改變將使得零點擊漏洞攻擊變得更加難以實現,但也補充道,設備安全性並不取決於單一的緩解策略,而是需要借助一系列的組合拳。
安全研究人員表示,盡管不能完全排除,但新措施可以提升相關標準,讓此類攻擊的利用成本大幅提升。
在此之前,零點擊漏洞已被用於針對 iPhone 用戶的幾次引人註目的攻擊。比如 2016 年的時候,阿聯酋方面就利用名為 Karma 的黑客工具,侵入瞭數百部的 iPhone 。
此外 2020 年的一份報告表明,零點擊漏洞被用於監視 37 名記者的 iPhone,且谷歌 Project Zero 安全團隊還發現瞭其它潛在的零點擊攻擊漏洞。
全站熱搜
留言列表
