אפל מקשיחה התמודדות עם חולשות יום-אפס
אפל החלה להקשיח מנגנונים הגנה במערכת ההפעלה שלה במטרה להקשות על תוקפים. זה לא תמיד עובד, אבל מדובר בצעד בכיוון חיובי
עמי רוחקס דומבה
| 31/01/2021
bigstock
חברת אפל, הכניסה בגרסת מערכת ההפעלה iOS 14 שלושה שיפורים להתמודד עם חולשות יום-אפס (כולל 0-click - מתקפות בהן אין צורך בתגובת משתמש). החוקרים של גוגל, במסגרת פרויקט googleprojectzero, יצאו לברר איך עובדים השיפורים. וכן, אני יודע. למרות זאת, עדיין החברה מבקשת שדרוג ל14.4 בגלל שלוש חולשות כאלו. לא שאני סניגור של אפל, אבל לפני שטוענים שהשיפורים לא אפקטיביים, כדאי להכיר אותם.
שיפור אחד הוא ה-BlastDoor. זהו sandboxed שאחראי לטפל בכל המידע שאינו מובנה (untrusted ) בiMessages. התכונה נכתבה בשפת Swift, שהחוקרים טוענים כי היא "שפה בטוחה בזיכרון אשר מקשה משמעותית על הכנסת פגיעות קלאסיות להשחתת זיכרון בבסיס הקוד."
שיפור נוסף נכנס במנגנון הASLR. בהפשטה, זהו מנגנון שנועד לערבל קוד בזיכרון על מנת שהתוקף לא ידע לאן לכוון את הפויינטרים שלו. בצורה אחרת, אם התוקף לא יודע איך מסודר הזיכרון, יהיה לו יותר קשה להריץ קוד זדוני בזיכרון.
"מבחינה היסטורית, ל- ASLR בפלטפורמות של אפל הייתה חולשה אדריכלית אחת: אזור המטמון המשותף, המכיל את מרבית ספריות המערכת בעצם בינארי גדול אחד, שהיה אקראי רק באתחול. לאחר האתחול, הוא נשאר באותה כתובת בכל התהליכים", מסבירים בפרסום.
"זה התגלה כקריטי במיוחד בהקשר של התקפות של 0-click, כיוון שהוא אפשר לתוקף, שמצליח לראות מרחוק קריסות של תהליכים, להסיק את כתובת הבסיס של המטמון המשותף. מידע זה אפשר לתוקף לשבור את הASLR כתנאי מוקדם לשלבי הניצול הבאים."
בiOS 14, אפל הוסיפה היגיון חדש. המטמון המשותף לתהליכים, במקום להתערבל פעם אחת בלבד באתחול, יתערבל מחדש בכל פעם ששירות יופעל ובכך יהפוך את טכניקת הפריצה הזו לחסרת תועלת. "זה אמור להפוך את עקיפת ה- ASLR בהקשר התקפת 0-click לקשה או אפילו בלתי אפשרית באופן משמעותי (מלבד brute force) בהתאם לחולשה הקונקרטית", כותבים בפרסום.
השיפור השלישי הוא מנגנונים להאט את השימוש בטכניקת brute force. השיפור החדש "גורם לפרק הזמן בין הפעלות מחדש לאחר התרסקות [הקוד] להכפיל את עצמו עם כל קריסה", כותבים החוקרים. עד למקסימום של 20 דקות (במקום 10 שניות). עם שינוי זה, ניצול חולשה שהסתמך על התרסקות חוזרת ונשנית של השירות המותקף, יידרש כעת לסדר גודל של מספר שעות עד להשלמתו, במקום מספר דקות. תוקף משתמש במנגנון ההקרסה על מנת לחפש את כתובת ההתחלה של זיכרון המטמון המשותף.
כאמור, למרות השיפורים, אפל מבקשת מכלל מחזיקי האייפון לשדרג לגרסה 14.4 בגלל שלוש חולשות. על פי הדיווח של אפל, החולשות בן בKernel וב-WebKit. שלוש החולשות מנוצלות באופן פעיל, כך לפי אפל.
אפל החלה להקשיח מנגנונים הגנה במערכת ההפעלה שלה במטרה להקשות על תוקפים. זה לא תמיד עובד, אבל מדובר בצעד בכיוון חיובי
bigstock
חברת אפל, הכניסה בגרסת מערכת ההפעלה iOS 14 שלושה שיפורים להתמודד עם חולשות יום-אפס (כולל 0-click - מתקפות בהן אין צורך בתגובת משתמש). החוקרים של גוגל, במסגרת פרויקט googleprojectzero, יצאו לברר איך עובדים השיפורים. וכן, אני יודע. למרות זאת, עדיין החברה מבקשת שדרוג ל14.4 בגלל שלוש חולשות כאלו. לא שאני סניגור של אפל, אבל לפני שטוענים שהשיפורים לא אפקטיביים, כדאי להכיר אותם.
שיפור אחד הוא ה-BlastDoor. זהו sandboxed שאחראי לטפל בכל המידע שאינו מובנה (untrusted ) בiMessages. התכונה נכתבה בשפת Swift, שהחוקרים טוענים כי היא "שפה בטוחה בזיכרון אשר מקשה משמעותית על הכנסת פגיעות קלאסיות להשחתת זיכרון בבסיס הקוד."
שיפור נוסף נכנס במנגנון הASLR. בהפשטה, זהו מנגנון שנועד לערבל קוד בזיכרון על מנת שהתוקף לא ידע לאן לכוון את הפויינטרים שלו. בצורה אחרת, אם התוקף לא יודע איך מסודר הזיכרון, יהיה לו יותר קשה להריץ קוד זדוני בזיכרון.
"מבחינה היסטורית, ל- ASLR בפלטפורמות של אפל הייתה חולשה אדריכלית אחת: אזור המטמון המשותף, המכיל את מרבית ספריות המערכת בעצם בינארי גדול אחד, שהיה אקראי רק באתחול. לאחר האתחול, הוא נשאר באותה כתובת בכל התהליכים", מסבירים בפרסום.
"זה התגלה כקריטי במיוחד בהקשר של התקפות של 0-click, כיוון שהוא אפשר לתוקף, שמצליח לראות מרחוק קריסות של תהליכים, להסיק את כתובת הבסיס של המטמון המשותף. מידע זה אפשר לתוקף לשבור את הASLR כתנאי מוקדם לשלבי הניצול הבאים."
בiOS 14, אפל הוסיפה היגיון חדש. המטמון המשותף לתהליכים, במקום להתערבל פעם אחת בלבד באתחול, יתערבל מחדש בכל פעם ששירות יופעל ובכך יהפוך את טכניקת הפריצה הזו לחסרת תועלת. "זה אמור להפוך את עקיפת ה- ASLR בהקשר התקפת 0-click לקשה או אפילו בלתי אפשרית באופן משמעותי (מלבד brute force) בהתאם לחולשה הקונקרטית", כותבים בפרסום.
השיפור השלישי הוא מנגנונים להאט את השימוש בטכניקת brute force. השיפור החדש "גורם לפרק הזמן בין הפעלות מחדש לאחר התרסקות [הקוד] להכפיל את עצמו עם כל קריסה", כותבים החוקרים. עד למקסימום של 20 דקות (במקום 10 שניות). עם שינוי זה, ניצול חולשה שהסתמך על התרסקות חוזרת ונשנית של השירות המותקף, יידרש כעת לסדר גודל של מספר שעות עד להשלמתו, במקום מספר דקות. תוקף משתמש במנגנון ההקרסה על מנת לחפש את כתובת ההתחלה של זיכרון המטמון המשותף.
כאמור, למרות השיפורים, אפל מבקשת מכלל מחזיקי האייפון לשדרג לגרסה 14.4 בגלל שלוש חולשות. על פי הדיווח של אפל, החולשות בן בKernel וב-WebKit. שלוש החולשות מנוצלות באופן פעיל, כך לפי אפל.
