El trabajo de Apple para fortalecer el asignador de memoria ha dificultado que los atacantes exploten ciertas clases de vulnerabilidades de software en dispositivos iOS y Mac, escribieron los ingenieros de seguridad de la compañía en un nuevo sitio web que Apple lanzó para compartir detalles técnicos detrás de las tecnologías de seguridad de iOS y MacOS.
La nueva iniciativa, Investigación de seguridad de Apple, también ofrece herramientas para ayudar a los investigadores de seguridad a informar problemas a Apple, obtener actualizaciones de estado en tiempo real para los informes enviados, comunicarse de forma segura con los ingenieros de Apple que investigan el problema y proporciona información sobre el Programa de recompensas de seguridad de Apple. La intención detrás del nuevo centro de seguridad es compartir con la comunidad de investigación cómo los ingenieros de Apple abordan los desafíos de seguridad, y también invitar a los investigadores a realizar contribuciones y comentarios.
La seguridad de la memoria es un área clave de enfoque, especialmente porque las violaciones de la seguridad de la memoria son las clase de vulnerabilidades de software más explotadas. En las plataformas de Apple, mejorar la seguridad de la memoria incluye "encontrar y corregir vulnerabilidades, desarrollar con lenguajes seguros e implementar mitigaciones a escala", escribieron los ingenieros en una publicación técnica en Seguridad de la memoria XNU.
XNU es el kernel en el núcleo de los iPhone, iPad y Mac.
Gran parte del código que se ejecuta en el iPhone, iPad y Mac se escribió utilizando lenguajes de programación "inseguros para la memoria", lo que significa que no previenen las violaciones de seguridad de la memoria y los desarrolladores pueden violar las reglas de seguridad de la memoria sin darse cuenta y sin saberlo mientras escriben código, los investigadores escribió. Los atacantes pueden explotar esos problemas para bloquear el software, ejecutar comandos no autorizados y recopilar información confidencial.
No es factible reescribir grandes cantidades de código existente utilizando lenguajes seguros para la memoria, por lo que "mejorar la seguridad de la memoria es un objetivo importante para los equipos de ingeniería de toda la industria", escribieron los ingenieros.
Apple sentó las bases para el asignador de memoria endurecido tipo_kalloc en iOS 14 cuando se presentó barato, la división de datos y el secuestro de memoria virtual. Apple agregó aislamiento de tipo cubo aleatorio al asignador de zona cuando introdujo tipo_kalloc en iOS 15. Con el lanzamiento de iOS 16 y macOS Ventura, el asignador endurecido ahora está disponible en todos los sistemas que usan el kernel XNU.
“Nuestra estrategia fundamental es diseñar un asignador que haga que la explotación de la mayoría de las vulnerabilidades de corrupción de la memoria sea inherentemente poco confiable”, escribieron los investigadores. “Esto limita el impacto de muchos errores de seguridad de la memoria incluso antes de que nos enteremos de ellos, lo que mejora la seguridad para todos los usuarios”.
En la actualización de Apple sobre su programa de recompensas, la compañía dijo que ha otorgado cerca de $ 20 millones a investigadores de seguridad en los últimos dos años y medio desde que se lanzó el programa. Si bien los pagos promedio son de alrededor de $40,000 20 en la categoría de productos, la compañía ha pagado 100,000 recompensas separadas de más de $XNUMX XNUMX por problemas de alto impacto. Los criterios de evaluación que los investigadores deben cumplir para cobrar las recompensas están disponibles en Apple Security Research.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
