งานของ Apple ในการทำให้ตัวจัดสรรหน่วยความจำแข็งขึ้นทำให้ผู้โจมตีสามารถเจาะช่องโหว่ของซอฟต์แวร์บางประเภทบนอุปกรณ์ iOS และ Mac ได้ยากขึ้น วิศวกรด้านความปลอดภัยของบริษัทเขียนบนเว็บไซต์ใหม่ที่ Apple เปิดตัวเพื่อแชร์รายละเอียดทางเทคนิคเบื้องหลังเทคโนโลยีความปลอดภัย iOS และ MacOS
ความคิดริเริ่มใหม่, การวิจัยความปลอดภัยของ Appleยังมีเครื่องมือที่จะช่วยให้นักวิจัยด้านความปลอดภัยรายงานปัญหาต่อ Apple รับการอัปเดตสถานะแบบเรียลไทม์สำหรับรายงานที่ส่ง สื่อสารอย่างปลอดภัยกับวิศวกรของ Apple ที่กำลังตรวจสอบปัญหา และให้ข้อมูลเกี่ยวกับ โปรแกรม Apple Security Bounty. จุดประสงค์เบื้องหลังฮับความปลอดภัยใหม่คือการแบ่งปันกับชุมชนการวิจัยว่าวิศวกรของ Apple รับมือกับความท้าทายด้านความปลอดภัยอย่างไร และยังเชิญผู้มีส่วนร่วมและข้อเสนอแนะจากนักวิจัย
ความปลอดภัยของหน่วยความจำเป็นประเด็นสำคัญ โดยเฉพาะอย่างยิ่งเนื่องจากการละเมิดความปลอดภัยของหน่วยความจำคือ ช่องโหว่ของซอฟต์แวร์ประเภทที่ใช้ประโยชน์อย่างกว้างขวางที่สุด. บนแพลตฟอร์มของ Apple การปรับปรุงความปลอดภัยของหน่วยความจำรวมถึง "การค้นหาและแก้ไขช่องโหว่ การพัฒนาด้วยภาษาที่ปลอดภัย และการปรับใช้การบรรเทาผลกระทบตามขนาด" วิศวกรเขียนไว้ในโพสต์ทางเทคนิคบน ความปลอดภัยของหน่วยความจำ XNU.
XNU เป็นเคอร์เนลที่เป็นแกนหลักของ iPhone, iPads และ Mac
โค้ดส่วนใหญ่ที่ทำงานบน iPhone, iPad และ Mac เขียนโดยใช้ภาษาโปรแกรม "ไม่ปลอดภัย" ซึ่งหมายความว่าไม่ได้ป้องกันการละเมิดความปลอดภัยของหน่วยความจำ และนักพัฒนาสามารถละเมิดกฎความปลอดภัยของหน่วยความจำโดยไม่ได้ตั้งใจและโดยไม่รู้ตัวขณะเขียนโค้ด เขียน. ปัญหาเหล่านี้สามารถถูกโจมตีโดยผู้โจมตีเพื่อหยุดการทำงานของซอฟต์แวร์ ดำเนินการคำสั่งที่ไม่ได้รับอนุญาต และเก็บเกี่ยวข้อมูลที่ละเอียดอ่อน
เป็นไปไม่ได้ที่จะเขียนโค้ดที่มีอยู่จำนวนมากโดยใช้ภาษาที่ปลอดภัยสำหรับหน่วยความจำ ดังนั้น "การปรับปรุงความปลอดภัยของหน่วยความจำจึงเป็นวัตถุประสงค์ที่สำคัญสำหรับทีมวิศวกรรมทั่วทั้งอุตสาหกรรม" วิศวกรเขียน
Apple วางรากฐานสำหรับตัวจัดสรรหน่วยความจำที่แข็งขึ้น kalloc_type ย้อนกลับไปใน iOS 14 เมื่อเปิดตัว เคปส์, การแยกข้อมูล และการแยกหน่วยความจำเสมือน Apple ได้เพิ่มการแยกประเภทที่ฝากข้อมูลแบบสุ่มให้กับตัวจัดสรรโซนเมื่อมีการเปิดตัว kalloc_type ใน iOS 15 ด้วยการเปิดตัว iOS 16 และ macOS Ventura ขณะนี้ตัวจัดสรรแบบแข็งพร้อมใช้งานในทุกระบบที่ใช้เคอร์เนล XNU
“กลยุทธ์พื้นฐานของเราคือการออกแบบตัวจัดสรรที่ทำให้การใช้ประโยชน์จากช่องโหว่ของหน่วยความจำเสียหายส่วนใหญ่ไม่น่าเชื่อถือโดยเนื้อแท้” นักวิจัยเขียน “สิ่งนี้จำกัดผลกระทบของข้อบกพร่องด้านความปลอดภัยของหน่วยความจำจำนวนมาก แม้กระทั่งก่อนที่เราจะเรียนรู้เกี่ยวกับข้อบกพร่องเหล่านั้น ซึ่งช่วยเพิ่มความปลอดภัยให้กับผู้ใช้ทุกคน”
ในการอัพเดทโปรแกรมเงินรางวัลของ Apple บริษัทกล่าวว่าได้มอบรางวัลให้นักวิจัยด้านความปลอดภัยเกือบ 20 ล้านดอลลาร์ในช่วงสองปีครึ่งที่ผ่านมานับตั้งแต่เปิดตัวโปรแกรม ในขณะที่การจ่ายเงินเฉลี่ยอยู่ที่ประมาณ 40,000 ดอลลาร์ในหมวดผลิตภัณฑ์ บริษัทได้จ่ายเงิน 20 รางวัลแยกต่างหากมากกว่า 100,000 ดอลลาร์สำหรับปัญหาที่มีผลกระทบสูง นักวิจัยต้องปฏิบัติตามเกณฑ์การประเมินเพื่อรวบรวมเงินรางวัลได้ใน Apple Security Research
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
