지난 몇 년간 많은 iPhone 사용자에게 영향을 미쳤던 Zero-Click 공격을 기억하십니까? Apple이 보안 업데이트를 한 후에는 더 복잡해지고 이런 종류의 공격을 만드는 것이 쉽지 않을 것 같습니다. iOS 14.5에서 만든 업데이트와 Apple의 변경 사항 및 이점에 대해 알아 보겠습니다.
제로 클릭 취약점이란 무엇입니까?
이전에 발견되거나 모니터링되지 않은 제품에 취약점이 존재하며, 알려지지 않았고이를 통해 전화기를 제어하고 침투 할 수 있기 때문에 모든 유형의 장치에 대한 가장 강력한 공격 유형 중 하나로 설명 할 수 있습니다. 장치를 활성화하기 위해 사용자가 상호 작용할 필요가 없습니다.
이 공격은 지난 몇 년 동안 사용되었습니다. 2016 년 UAE에서 근무하는 해커는 iMessage 애플리케이션에서 제로 클릭 익스플로잇을 획득하여 "Karma"라고 명명하여 특정 사람들의 많은 iPhone에 침투 할 수 있도록 허용했으며 2018 년에는 스파이 회사입니다. NSO 그룹 (페가수스 프로그램 소유자)은 제로 클릭 공격을 판매하는 스파이 도구 세트를 제공했으며 작년 말에 이러한 도구가 사용되었으며 많은 언론인이 제로 클릭 공격으로 iPhone을 해킹했습니다.
애플은 무엇을 했는가
회사는 모바일 운영 체제에서 실행되는 코드를 보호하는 방식에 조용히 새로운 변경을 수행했습니다. iOS 14.5 베타의 변경으로 최종 시스템에 추가됩니다.
마더 보드는이 문제에 대해 취약점 및 악성 코드 개발자와 이야기를 나눴으며 많은 전문가들이 iPhone 시스템의 보안 허점을 발견하고 있다고 믿습니다. 이러한 Apple의 변경 사항은 해커가 iPhone을 제로로 제어하는 것을 매우 어렵게 만듭니다. 클릭 기술.
그리고 정부를 위해 일하는 허점 개발자 중 한 명은 샌드 박스가 제로 클릭 공격에 더 어려울 것이라고 말했습니다. 즉, 단일 프로그램의 상호 작용을 중지하고 시스템에 미치는 영향을 방지하기 위해 애플리케이션을 서로 격리하는 샌드 박스를 의미합니다. 전체.
변경 사항은 프로그램을 실행할 때 사용할 코드를 알려주는 iOS 운영 체제의 코드와 관련된 기능인 ISA 표시기로 알려진 것을 중심으로 진행되며 지금까지 이러한 표시기는 PAC 기술 또는 인덱스 인증으로 보호되지 않았습니다. iPhone 사용자를 작업으로부터 보호하는 코드 악의적 인 코드를 게시하여 작동하는 악용 코드는 해커가 메모리 손상 오류를 악용하는 것을 방지하지만 Apple의 변경 사항으로 인해 ISA 표시기에 PAC 기술이 추가되었습니다.
관점
간단히 말해 애플이 한 것은 운영 체제가 코드를 숨기는 방식을 변경 한 것이지만 실제로 중요한 것은 보안 영역에 대한 상호 불신을 전제로 자체 기본 보안 모델을 개발했다는 것입니다. 여기서 아이디어는 보안 체인의 각 요소가 독립적으로 작동하고, 약간의 사용자 정보를 수집하며, 보안 유연성을 높이고 iPhone 사용자에게 매우 강력한 보호를 제공하는 불신 모델로 구축된다는 것입니다. 그 어느 때보 다 더 세게 공격하는 것이 불가능 해짐을 의미합니다. 이제 새로운 기술을 찾는 것은 해커의 몫이며 결국 취약점이없는 시스템은 없지만 Apple은 이러한 취약점을 가능한 한 어렵게 만들고자합니다.
한국어 :
14 리뷰