幾位惡意軟件研究人員宣稱，iOS 14.5 中即將引入的一項(xiàng)改動(dòng)，將使得在 iPhone 上執(zhí)行“零點(diǎn)擊”（Zero Click）漏洞利用變得更加困難。據(jù)悉，蘋果悄然改變了在 iOS 14.5 Beta 測試版本上的代碼運(yùn)行方式，更多細(xì)節(jié)有望在下一次公開推送時(shí)披露。

具體說來是，該公司添加了指針驗(yàn)證碼（PAC），以保護(hù)用戶免受通過內(nèi)存破壞來注入惡意代碼的攻擊。

在調(diào)用之前，系統(tǒng)將會(huì)驗(yàn)證所謂的 ISA 指針，后者是一種告知 iOS 程序要運(yùn)行什么代碼的安全特性。

一位研究人員指出，其在 2 月初的反向工程工作期間，發(fā)現(xiàn)了 iOS 14.5 Beta 測試版本中引入的這項(xiàng)新變化。

與此同時(shí)，蘋果還在 2 月 28 日公開發(fā)布的新版《平臺(tái)安全性指南》中分享了有關(guān) PAC 的一些細(xì)節(jié)。

研究人員向 Motherboard 表示，這項(xiàng)安全性緩解措施，將使得零點(diǎn)擊漏洞的利用過程變得更加難以實(shí)現(xiàn)。

這類攻擊特指攻擊者無需用戶進(jìn)行任何干預(yù)，即可對(duì)?iPhone?發(fā)起入侵，甚至通過復(fù)雜的技術(shù)手段，從 iOS 內(nèi)置隔離的沙盒安全機(jī)制中逃逸。

蘋果發(fā)言人亦在接受外媒采訪時(shí)稱，該公司相信這項(xiàng)改變將使得零點(diǎn)擊漏洞攻擊變得更加難以實(shí)現(xiàn)，但也補(bǔ)充道，設(shè)備安全性并不取決于單一的緩解策略，而是需要借助一系列的組合拳。

安全研究人員表示，盡管不能完全排除，但新措施可以提升相關(guān)標(biāo)準(zhǔn)，讓此類攻擊的利用成本大幅提升。

在此之前，零點(diǎn)擊漏洞已被用于針對(duì) iPhone 用戶的幾次引人注目的攻擊。比如 2016 年的時(shí)候，阿聯(lián)酋方面就利用名為 Karma 的黑客工具，侵入了數(shù)百部的 iPhone 。

此外 2020 年的一份報(bào)告表明，零點(diǎn)擊漏洞被用于監(jiān)視 37 名記者的 iPhone，且谷歌 Project Zero 安全團(tuán)隊(duì)還發(fā)現(xiàn)了其它潛在的零點(diǎn)擊攻擊漏洞。

?

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/