根据Motherboard的说法,Apple提出了一种保护iOS免受零点击攻击的方法。这些漏洞使黑客能够控制iPhone而无需受害者的任何干预。苹果公司开发的更改已被默默地添加到iOS 14.5 Beta中,这使iPhone用户有另一个理由期待更新的最终版本。下一代iOS版本中的一些功能包括:允许戴着iPhone面罩的用户在佩戴未锁定的Apple Watch时自动解锁手机。此更新添加了新的表情符号和“应用程序跟踪透明度”功能,该功能可阻止第三方应用程序跟踪用户,除非他决定选择接受跟踪。
一位为政府客户开发漏洞的消息人士说,苹果公司所做的改变“……肯定会使0点击更加困难。沙盒也逃脱了。非常困难。” 由于发生了零点击攻击,而手机拥有者却无需采取任何措施,因此目标通常很难检测到这种攻击,并且这种攻击更为复杂。iOS的一项功能(称为ISA指针)告诉操作系统要使用的代码。根据Apple的《平台安全指南》,Apple现在使用密码术通过使用指针验证码(或PAC)来验证这些指针。这是对Apple的一种新保护形式,可防止黑客在攻击中使用恶意代码。安全公司Zimperium的成员Adam Donenfeld在本月初对iOS 14.5 Beta进行反向工程时注意到了这一变化。
Donenfeld在一次在线聊天中说:“不仅如此,Apple不仅告诉Motherboard这项更改将有助于保护iPhone免受零点击攻击,现在,由于指针已签名,因此很难破坏这些指针来操纵系统中的对象。这些对象主要用于沙箱转义和0clicks。” 而现在,坏演员们是不高兴的。一位不愿透露姓名的iOS安全研究人员表示,他无权与媒体交谈,他说:“许多黑客现在因为无法挽回地丢失了某些技术而感到不安。”
Zimperium的Donenfeld指出,黑客将在寻找新技术来替代丢失的技术。此外,他说,即使现在更难以实现零点击,但并非不可能将其用于攻击。“受欢迎的Checkra1n越狱开发商之一”杰米·毕晓普(Jamie Bishop)指出:“实际上,这种缓解措施可能只会增加0clicks的成本,但拥有大量资源的坚定攻击者仍然有能力将其实施。” 尽管如此,通过使零点击攻击更加难以实施,iPhone用户需要在今年春季最终的公共版本可用后立即安装iOS 14.5。