Остання функція безпеки iPhone від Apple ускладнила життя творцям шпигунського ПЗ
Серед численних новинок, представлених цього тижня компанією Apple, була анонсована нова технологія безпеки для iPhone 17 та iPhone Air. Ця технологія створена для боротьби з постачальниками системи спостереження та вразливостями, яких вони найчастіше використовують, стверджує Apple.
Нова функція називається Застосування Інтегритету Пам’яті (ZІП) і покликана запобігти помилкам корупції пам’яті, які є одними з найпоширеніших вразливостей, що експлуатуються розробниками шпигунських програм та виробниками пристроїв для криміналістичних досліджень, які використовуються правоохоронними органами.
“Відомі комерційні шпигунські програми, що використовуються проти iOS, мають спільну рису з тими, що націлені на Windows та Android: вони експлуатують вразливості безпеки пам’яті, які є взаємозамінними, потужними та поширені в усій індустрії,” — йдеться у блозі Apple.
Експерти з кібербезпеки, включаючи тих, хто розробляє інструменти для зламування та експлойти для iPhone, зазначають, що нова технологія безпеки може зробити iPhone 17 одними з найзахищеніших пристроїв у світі. Це, ймовірно, ускладнить життя компаніям, які займаються розробкою шпигунського ПЗ та нульових експлойтів для встановлення шпигунських програм на телефони або витягування з них даних.
“iPhone 17, мабуть, тепер є найзахищенішим обчислювальним середовищем у світі, яке залишається підключеним до Інтернету,” — сказав один із дослідників безпеки, який роками працював над розробкою та продажем нульових експлойтів та інших кіберздатностей державі США.
Дослідник розповів, що ZІП підвищить витрати та час, необхідні для розробки експлойтів для новітніх iPhone, і, відповідно, збільшить ціни для платоспроможних клієнтів.
“Це велика справа,” — зазначив анонімний дослідник. “Це не означає, що система захищена на 100%. Але до цього моменту це найкраще, що ми маємо. Нічого з цього ніколи не буде ідеально безпечно. Але це значно підвищує ставки.”
Дослідниця Йска Классен, якій вивчає iOS у Університеті Хассо Платенера в Німеччині, погодилася, що ZІП підвищує витрати на розробку технологій спостереження.
Классен зазначила, що деякі вразливості і експлойти, що зараз працюють у шпигунських компаній і дослідників, перестануть діяти, коли нові iPhone з’являться на ринку і буде впроваджена ZІП.
“Я також можу уявити, що протягом певного часу деякі шпигунські постачальники не матимуть робочих експлойтів для iPhone 17,” — сказала Классен.
“Це, безперечно, зробить їхнє життя набагато складнішим,” — додав Патрік Уордл, дослідник, який керує стартапом, що займається розробкою продуктів кібербезпеки для Apple. “Але завжди залишається елемент гри кішки та миші.”
Уордл також зазначив, що людям, які переживають через злам з використанням шпигунських програм, слід оновити свої пристрої до нових iPhone.
Експерти вважають, що ZІП зменшить ефективність як віддалених зламів, таких як з використанням шпигунських програм на зразок Pegasus від NSO Group і Graphite від Paragon. Також це може допомогти захистити від фізичних зламів пристроїв, які здійснюються за допомогою обладнання для розблокування телефонів, такого як Cellebrite або Graykey.
Боротьба з “більшістю експлойтів”
Більшість сучасних пристроїв, включаючи більшість iPhone сьогодні, працюють на програмному забезпеченні, написаному мовами програмування, схильними до помилок, пов’язаних з пам’яттю, які часто називають помилками переповнення пам’яті або корупції. Коли такі помилки виникають, вміст пам’яті одного додатку може потрапити в інші частини пристрою, де не повинен з’являтися.
Вразливості, пов’язані з пам’яттю, можуть дозволити зловмисним хакерам отримати доступ і контролювати частини пам’яті пристрою, до яких їм не дозволено доступати. Цей доступ може бути використаний для вставлення шкідливого коду, здатного отримати більш широкий доступ до даних користувача, які зберігаються в пам’яті телефону, та витягувати їх через інтернет-з’єднання.
ZІП має на меті захистити від таких широких атак на пам’ять, значно зменшуючи attack surface, де можна експлуатувати вразливості пам’яті.
Згідно з Халваром Флейком, експертом у сфері наступальної кібербезпеки, помилки пам’яті “є більшістю експлойтів.”
ZІП базується на технології, що називається Розширенням Тегування Пам’яті (РТП), спочатку розробленій компанією Arm. У блозі Apple йдеться, що протягом п’яти років компанія працювала з Arm над розширенням та вдосконаленням функцій безпеки пам’яті, створивши продукт під назвою Розширене Тегування Пам’яті (РТП).
ZІП є реалізацією Apple цієї нової технології безпеки, яка використовує повний контроль компанії над своєю технологічною інфраструктурою, від програмного забезпечення до апаратного забезпечення, на відміну від багатьох конкурентів на ринку телефонів.
Google пропонує РТП для деяких пристроїв Android; також безпечний GrapheneOS, кастомна версія Android, пропонує РТП.
Однак інші експерти стверджують, що ZІП від Apple іде ще далі. Флейк зазначив, що Pixel 8 та GrapheneOS “майже порівнянні”, але нові iPhone будуть “найбільш безпечними серед масових пристроїв”.
ZІП працює, призначаючи кожній частині пам’яті нового iPhone секретне тегування, фактично своєрідний унікальний пароль. Це означає, що лише програми з цим секретним тегуванням можуть отримати доступ до фізичної пам’яті в майбутньому. Якщо тег не співпадає, спрацьовують захисні механізми, запит блокується, програма аварійно закривається, а подія реєструється.
Це закриття програми і реєстрація події є особливо важливими, оскільки шпигунські програми та нульові експлойти частіше викликають аварії, що полегшує Apple та дослідникам безпеки виявлення атак.
“Помилковий крок призведе до аварії та потенційно відновлювального артефакту для захисника,” — сказав Маттіас Фрілінгсдорф, віце-президент з досліджень у компанії iVerify, яка створює додаток для захисту смартфонів від шпигунських програм. “Зловмисники вже мають мотивацію уникати корупції пам’яті.”
Apple не надала коментарів за запитом.
ZІП буде активованою за замовчуванням у всій системі, що означає, що вона захистить програми, такі як Safari і iMessage, які можуть бути точками входу для шпигунських програм. Однак стороннім додаткам буде потрібно самостійно реалізувати ZІП для покращення захисту своїх користувачів. Apple випустила версію РТП для розробників для цього.
Таким чином, ZІП є величезним кроком у правильному напрямку, але потрібно час, щоб побачити його вплив, залежно від кількості розробників, які його впроваджують, та кількості людей, які придбають нові iPhone.
Деякі зловмисники, безумовно, все ще знайдуть вихід.
“ZІП — це добре і, можливо, навіть велика справа. Це може значно підвищити витрати для зловмисників і навіть витіснити деяких з них з ринку,” — зазначив Фрілінгсдорф. “Але все ще буде багато зловмисників, які зможуть досягти успіху та підтримувати свій бізнес.”
“Доки залишаються покупці, будуть і продавці,” — підсумував Фрілінгсдорф.
