إن عمل شركة Apple على تقوية مخصص الذاكرة جعل من الصعب على المهاجمين استغلال فئات معينة من ثغرات البرامج على أجهزة iOS وMac، وذلك حسبما كتب مهندسو الأمان في الشركة على موقع ويب جديد أطلقته شركة Apple لمشاركة التفاصيل الفنية وراء تقنيات أمان iOS وMacOS.
المبادرة الجديدة ، أبحاث أمن أبل، يوفر أيضًا أدوات لمساعدة الباحثين الأمنيين في الإبلاغ عن المشكلات إلى Apple، والحصول على تحديثات الحالة في الوقت الفعلي للتقارير المقدمة، والتواصل بشكل آمن مع مهندسي Apple الذين يقومون بالتحقيق في المشكلة، ويوفر معلومات حول برنامج مكافآت أبل الأمنية. الهدف من مركز الأمان الجديد هو مشاركة مجتمع البحث في كيفية تعامل مهندسي Apple مع التحديات الأمنية، وكذلك دعوة الباحثين إلى المساهمة وتعليقاتهم.
تعد سلامة الذاكرة مجالًا رئيسيًا للتركيز، خاصة وأن انتهاكات سلامة الذاكرة هي السبب الرئيسي فئة الثغرات الأمنية الأكثر استغلالًا على نطاق واسع. على منصات Apple، يتضمن تحسين سلامة الذاكرة "إيجاد نقاط الضعف وإصلاحها، والتطوير باستخدام لغات آمنة، ونشر عمليات التخفيف على نطاق واسع"، كما كتب المهندسون في منشور فني حول سلامة الذاكرة XNU.
XNU هي النواة الأساسية لأجهزة iPhone وiPad وMac.
تمت كتابة الكثير من التعليمات البرمجية التي تعمل على أجهزة iPhone وiPad وMac باستخدام لغات برمجة "غير آمنة للذاكرة"، مما يعني أنها لا تمنع انتهاكات سلامة الذاكرة ويمكن للمطورين انتهاك قواعد سلامة الذاكرة عن غير قصد ودون علم أثناء كتابة التعليمات البرمجية، كما يقول الباحثون. كتب. يمكن للمهاجمين استغلال هذه المشكلات لتعطيل البرامج وتنفيذ أوامر غير مصرح بها وجمع المعلومات الحساسة.
وكتب المهندسون أنه من غير الممكن إعادة كتابة كميات كبيرة من التعليمات البرمجية الموجودة باستخدام لغات آمنة للذاكرة، لذلك "يعد تحسين سلامة الذاكرة هدفًا مهمًا للفرق الهندسية في جميع أنحاء الصناعة".
لقد وضعت شركة Apple الأساس لمخصص الذاكرة المقوى kalloc_type مرة أخرى في iOS 14 عندما تم تقديمه kheapsوتقسيم البيانات وعزل الذاكرة الافتراضية. أضافت شركة Apple عزلاً عشوائيًا من النوع المعبأ إلى مُخصص المنطقة عند تقديمه kalloc_type في iOS 15. مع إصدار iOS 16 وmacOS Ventura، أصبح المُخصص المعزز متاحًا الآن على جميع الأنظمة التي تستخدم نواة XNU.
وكتب الباحثون: "إن استراتيجيتنا الأساسية هي تصميم مُخصص يجعل استغلال معظم ثغرات تلف الذاكرة غير موثوق به بطبيعته". "وهذا يحد من تأثير العديد من أخطاء سلامة الذاكرة حتى قبل أن نتعرف عليها، مما يحسن الأمان لجميع المستخدمين."
وفي تحديث شركة آبل لبرنامج المكافآت الخاص بها، قالت الشركة إنها منحت ما يقرب من 20 مليون دولار للباحثين الأمنيين على مدار العامين ونصف العام الماضيين منذ إطلاق البرنامج. في حين أن متوسط المدفوعات يبلغ حوالي 40,000 ألف دولار أمريكي في فئة المنتج، فقد دفعت الشركة 20 مكافأة منفصلة تزيد قيمتها عن 100,000 ألف دولار أمريكي للمشكلات عالية التأثير. معايير التقييم التي يحتاج الباحثون إلى استيفائها من أجل جمع المكافآت متاحة على Apple Security Research.
