Attaques sans clic pour avoir moins de succès sur les iPhones

Apple fait de son mieux pour garder une longueur d’avance sur les pirates. C’est un jeu constant avec tous les joueurs qui y travaillent continuellement. Mais Apple a juste pris de l’avance. Il a modifié une version bêta d’iOS 14.5 qui rendra les attaques sans clic moins réussies.

Modification de la sécurité de la mise à jour iOS 14.5

Plusieurs chercheurs en sécurité spécialisés dans les vulnérabilités iOS pensent que cette nouvelle mise à jour d’iOS 14.5 rendra beaucoup plus difficile pour les pirates d’utiliser des attaques sans clic sur les iPhones. Ces attaques permettent aux pirates de prendre le contrôle sans aucune interaction de la part de l’utilisateur. Sans cette interaction, cela les rend plus difficiles à détecter. Apple a déclaré qu’il pensait que sa mise à jour iOS aurait un impact sur le jeu des attaques sans clic.

«Cela rendra certainement le zéro-clic plus difficile. Sandbox s’échappe aussi. Beaucoup plus difficile », a expliqué une source qui développe des exploits pour le gouvernement en s’adressant à Motherboard.

La mise à jour d’Apple utilisera des bacs à sable. Ceux-ci isolent les applications, essayant d’empêcher le code d’une application d’affecter le système d’exploitation.

La mise à jour iOS 14.5 utilise une technologie 2018: les codes d’authentification du pointeur (PAC). Ceux-ci protègent les utilisateurs d’iPhone contre les exploits qui ajoutent du code malveillant en empêchant les pirates d’accéder à la mémoire corrompue.

La cryptographie authentifie les pointeurs et les valide avant leur utilisation. Le code iOS comprend des pointeurs ISA qui indiquent à un programme le code à utiliser. En utilisant la cryptographie, Apple a accordé des protections PAC aux pointeurs ISA.

«De nos jours, puisque le pointeur est signé, il est plus difficile de corrompre ces pointeurs pour manipuler des objets dans le système. Ces objets étaient principalement utilisés dans les évasions de bac à sable et les zéro-clic », a expliqué Adam Donenfeld de la société de sécurité Zimperium. Il a ajouté qu’il avait remarqué le changement d’iOS 14.5 lors de la rétro-ingénierie de la mise à jour bêta.

Code des attaques Apple Zero Click

Tout en affirmant qu’Apple pense que le changement rendra les attaques sans clic plus difficiles, un représentant de la société a également noté que la sécurité de l’iPhone dépendra de plusieurs atténuations à la fois.

Avancer

Un chercheur en sécurité iOS a déclaré que cette mise à jour inquiétait les pirates de l’iPhone « parce que certaines techniques sont désormais irrémédiablement perdues. »

«Ir a relevé la barre», a reconnu Patrokios Argyroudis, spécialiste des vulnérabilités inconnues de la société de sécurité CENSUS.

En relation :  Microsoft Teams est configuré pour recevoir une mise à jour des appels majeurs

Donenfeld a noté que ce changement ne rend pas les attaques impossibles, mais « il aura certainement un impact. »

Attaques Apple Zero Click sur iPhone

«Quand il y a une volonté, il y a un moyen», a ajouté Jamie Bishop, développeur de jailbreak Checkra1n. «Il y aura toujours des bugs de quelque sorte que ce soit, que ce soit dans PAC ou que ce soit une stratégie d’exploitation complètement différente. Cette atténuation en réalité ne fait probablement qu’augmenter le coût du zéro-clic, mais un attaquant déterminé avec beaucoup de ressources serait toujours en mesure de le faire. « 

Bien sûr, cela n’obligera pas les pirates à jeter l’éponge. Ils retourneront simplement à la planche à dessin. Ils finiront par trouver un nouveau moyen d’affecter les iPhones, ce qui signifie que l’équipe de sécurité d’Apple devra également revenir à la planche à dessin.

Et c’est ainsi qu’Apple retient ses utilisateurs. Les fidèles d’Apple savent qu’Apple continuera à se battre pour les protéger, eux et leurs appareils. Mais il semble que c’est aussi ce qui pousse les attaquants à vouloir vraiment s’en tenir à l’entreprise.

Et pendant qu’il travaille sur le déploiement de ce correctif iOS, Apple est également confronté à un problème de plantage d’applications iOS tierces après la synchronisation avec les Mac M1 ainsi que les Mac M1 victimes du malware Silver Sparrow. Les hackers sont toujours au travail.

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.