iOS 14.5 tomará medidas enérgicas contra los ataques sin hacer clic

Un ataque de cero clic es un tipo de ataque cibernético aterrador para los usuarios de teléfonos inteligentes, que no requiere nada en la forma de ataques de ingeniería social (como correos electrónicos de phishing) para tomar el control del dispositivo de una persona. En cambio, estos ataques altamente especializados explotan vulnerabilidades que no requieren que el usuario haga nada, lo que hace que los ataques sean más difíciles de frustrar y de detectar.

Si bien los ataques de cero clic pueden ser poco frecuentes, sin embargo, se han llevado a cabo con éxito antes. Para ayudar a detenerlos en seco, Apple está tomando medidas enérgicas contra los métodos de explotación en el próximo iOS 14.5.

Revisión de seguridad de Apple

Los investigadores que revisaron la última versión beta de iOS, lanzada a mediados de febrero, han descubierto que Apple ha cambiado la forma en que protege el código, escribe Motherboard . El cambio supuestamente involucra algo llamado punteros ISA. El informe explica que:

"Desde 2018, Apple ha implementado una tecnología llamada Códigos de autenticación de puntero (o PAC) para proteger a los usuarios de iPhone de exploits que inyectan código malicioso al evitar que los atacantes aprovechen la memoria dañada, según la Guía de seguridad de plataforma de Apple. Esto se hace usando criptografía para autenticarse". estos punteros y validarlos antes de que se utilicen. Los punteros ISA son una característica relacionada del código de iOS que le dice a un programa qué código usar cuando se ejecuta. Hasta ahora, no estaban protegidos con PAC, como explicó Samuel Groß de Google Project Zero el año pasado. Al utilizar la criptografía para firmar estos indicadores, Apple extendió las protecciones de PAC a los indicadores ISA ".

Los investigadores de seguridad dicen que este cambio hará que sea mucho más difícil realizar exploits sin hacer clic, así como escapes de sandbox. Este último se refiere a un exploit que permite que se ejecute código malicioso desde un sandbox, de una manera que impacta el sistema fuera del entorno aislado del sandbox.

Como se señaló, los ataques de clic cero son excepcionalmente raros, aunque se han producido en la naturaleza. A menudo se desarrollan como una forma de perseguir a un individuo de alto perfil. Por ejemplo, en 2016, los piratas informáticos que trabajaban para el gobierno de los Emiratos Árabes Unidos utilizaron Karma, un código de herramienta de pirateo de iPhone sin hacer clic, para acceder a los teléfonos de cientos de objetivos. En 2020, 36 editores y periodistas de Al Jazeera fueron víctimas de un ataque de iPhone sin hacer clic.

Próximamente en iOS 14.5

Es casi seguro que las nuevas medidas de seguridad de Apple se incluirán como parte del lanzamiento público de iOS 14.5 cuando se lance a los usuarios. Además de la medida de seguridad de ataque sin hacer clic, otras actualizaciones de iOS 14.5 incluirán la capacidad de configurar un reproductor de música predeterminado de su elección , la capacidad de desbloquear su iPhone con una máscara , más de 200 emoji nuevos, transparencia de seguimiento de aplicaciones, y más.

Apple aún tiene que revelar exactamente cuándo se lanzará la versión pública de iOS 14.5. Sin embargo, parece probable que sea a finales de este mes.

Crédito de la imagen: Frederik Lipfert / Unsplash CC