Команда Google Project Zero обнародовала подробности нового механизма безопасности, который Apple незаметно добавила в iOS 14 в качестве меры предосторожности против недавних атак нулевого дня в приложении iMessage.
Это не что иное, как расширенная песочница для данных iMessage. Он был обнаружен и назван «BlastDoor» Самуэлем Гробом, исследователем Google Project Zero, которому было поручено обнаруживать уязвимости нулевого дня в операционных системах.
BlastDoor теперь отвечает почти за весь анализ ненадежных сообщений (а также вложений) в iMessages. Более того, сервис написан на Swift, на самом безопасном для памяти языке, что значительно усложняет внедрение классических уязвимостей памяти в кодовую базу.
Похоже, Apple проделала большую работу. Странно, почему они сами не уведомили пользователей об этой функциональности.
ПодробнееРазвитие безопасности в этой области является следствием эксплойта с нулевым щелчком, который использовал уязвимость Apple iMessage в iOS 13.5.1 для обхода безопасности в рамках кампании, нацеленной на журналистов Al Jazeera в прошлом году. Новая система безопасности, по словам Гроба, проанализировала изменения, внесенные в ходе еженедельного проекта обратного инжиниринга с использованием M1 Mac Mini под управлением macOS 11.1 и iPhone XS под управлением iOS 14.3.
Благодаря этому мы кое-что знаем об этом загадочном сервисе
Когда входящее сообщение iMessage достигает получателя, сообщение проходит через ряд служб, основной из которых является демон Apple Push Notification Service (apsd) и его процесс, называемый imagent, который отвечает не только за расшифровку содержимого сообщения, но также за загрузку вложений и обработку ссылок на веб-сайты, что, конечно же, имеет решающее значение для вредоносных сообщений.
BlastDoor проверяет все входящие сообщения в безопасной среде песочницы, которая предотвращает взаимодействие вредоносного кода, содержащегося в сообщении, с остальной частью операционной системы или получение доступа к пользовательским данным.
Другими словами, декодируя списки свойств сообщений и создавая предварительные просмотры ссылок – от изображения до нового компонента BlastDoor, специально созданное сообщение больше не может взаимодействовать с файловой системой или выполнять сетевые операции.
Разумеется, весь анализ происходит до того, как сообщение отображается пользователю в панели уведомлений. Если он классифицирован как вредоносный, он не будет отображаться, а будет помещен в карантин или, в критических случаях, немедленно удален.
Послесловие
По мнению специалистов Google, внесенные Apple изменения – лучшее, что можно было реализовать для защиты от атак в iMessage. Кроме того, учитывая необходимость обратной совместимости, Apple исправила множество уязвимостей и других фишинговых атак на пользователей iPhone.
