谷歌研究员发现新的 iOS 安全系统
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
去年秋天推出 iOS 14 后,苹果向 iPhone 和 iPad 推出一个新的安全系统,保护用户免受由 iMessage 即时通讯客户端执行的攻击。
该安全系统名为 BlastDoor,由Project Zero 团队的研究员 Samuel Groß 发现。Groß 表示 BlastDoor 服务是一个基本的沙箱,以与余下的操作系统隔离的方式执行代码。
虽然 iOS 配有多种沙箱机制,但 BlastDoor 是又一个在 iMessage app 运行的新系统。它的目的是接收信息并在安全和隔离的环境中解压和处理内容,以面隐藏在信息中的恶意代码和底层操作系统进行交互或对系统造成损害或检索用户数据。
过去多名安全研究员指出 iMessage 服务在清理导入的用户数据方面不力,因此 BlastDoor 类服务的出现也合理。三年来,研究人员或攻击者在 iMessage 的多个实例中找到了 iMessage 远程代码执行 (RCE) 漏洞并滥用这些问题开发 exploit,导致攻击者仅通过向设备发送简单文本、照片或视频的方式就能控制 iPhone。
去年夏天,公民实验室就发布报告,详述了针对半岛电视台员工和记者的攻击活动。Groß 指出看过报告后开始调查 iOS 的内部原理,因为报告中指出 iOS 14 发布后,攻击者的 0day 失效,显然新版本中增加了一些安全增强措施。
检查完 iOS 14 的内部工作原理后,Groß 认为苹果最终听从了安全研究员的建议,通过向 iMessage 源代码增加 BlastDoor 沙箱的方式处理接收的内容。
Groß 在博客中指出,“总体而言,鉴于向后兼容的需求,这些更改可能非常接近可以完成的最好更改,且它们应该会对 iMessage 和整个平台的安全性产生重大影响。苹果将资源投资到此类大型重构中,提到最终用户安全性的做法很赞。“
推荐阅读
苹果紧急修复三枚已遭在野利用的 iOS 0day
半岛电视台员工遭iOS iMessage app零点击0day 漏洞利用攻击
苹果修复严重的代码执行漏洞,影响 iOS 和 iPadOS 操作系统
原文链接
https://www.zdnet.com/article/google-researcher-discovers-new-ios-security-system/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
谷歌研究员发现新的 iOS 安全系统相关推荐
- SolarWinds 事件新动态:研究员发现新的C2基础设施
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 去年12月爆发的 SolarWinds 供应链攻击事件因使用广泛且高深的技术渗透并在目标基础设施中实现持久性而备受关注.微软认为背后的攻击 ...
- 当谷歌员工来到新公司的那一天,发现原来公司什么都没有
云栖大会是阿里每年一次的秀肌肉,2020年的云栖大会采用了云上直播,昨天一天把云栖大会的内容整体上算是看了一遍,当然更多是挑着看的,不然太多了.总体的感觉阿里还是国内技术最过硬的公司之一(主要是考虑到 ...
- 中国、意大利等国研究员用AI 发现新的月球陨石坑 | AI日报
中国.意大利等国研究员用AI 发现新的月球陨石坑 由人工智能提供支持的新型陨石坑发现工具发现,月球表面比我们想象的还要坚固.在本周发表在<自然通讯>杂志上的一项研究中,来自中国,意大利和冰 ...
- 安全研究员发现 Yandex 浏览器中的 SSRF 缺陷
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 俄罗斯搜索和互联网服务巨头 Yandex 修复了一个严重的服务器端请求伪造 (SSRF) 漏洞,它由埃及安全研究员 Momen Ali 在对 Y ...
- 华为:将在员工绩效考核中增加“伙伴满意度”选项;谷歌研究员“走火入魔”,被罚带薪休假;魅族回应被吉利收购 | EA周报...
EA周报 2022年6月17日 每个星期7分钟,元宝带你喝一杯IT人的浓缩咖啡,了解天下事.掌握IT核心技术. 周报看点 1.腾讯宣布自研业务实现全面上云 2.比尔·盖茨调侃微软IE浏览器关停:&qu ...
- 罗永浩宣布退网创业;谷歌研究员“走火入魔”事件曝光:认为AI已具备人格,被罚带薪休假;Wasmer 2.3 发布|极客头条
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 梦依丹 出品 | CSDN(ID:CSDNnews ...
- 谷歌创造ImageNet1K新纪录:性能不佳的微调模型不要扔,求一下平均权重就能提升性能...
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达 丰色 发自 凹非寺 量子位 | 公众号 QbitAI 如何最大限度地 ...
- 谷歌全新轻量级新模型ALBERT刷新三大NLP基准
谷歌全新轻量级新模型ALBERT刷新三大NLP基准 ICLR 2020提交论文数量达到2594篇,比去年增加了近1000篇.其中,来自谷歌的一篇论文引起格外瞩目,该论文提出ALBERT模型,比BERT ...
- 谷歌社交平台新漏洞威胁千万用户隐私 将提早关闭
谷歌公司在周一宣布,公司今年第二次发现了允许合作伙伴应用访问其用户隐私数据的软件漏洞,将在明年4月份关闭社交媒体服务Google+,比原计划提前了四个月. "GSuite"产品经理 ...
最新文章
- PHP性能调优---php-fpm - 启动参数及重要配置详解
- ubuntu9.10中更改启动顺序(grub2的配置)
- 【剑指offer】_15数组中重复的数字
- 经典面试题(3):关于this指向的常见面试题
- Python监听键盘和鼠标事件,并发送内容至邮箱!
- 流程在团队管理中的作用
- 酒糟怎么处理才能喂母羊?
- 计算机二级考试办公室高级应用考点,全国计算机二级考试MSOFFICE高级应用考点解析Word1...
- Mysql启动报错:本地计算机上的mysql服务启动停止后,某些服务在未由其他服务或程序使用时将自动停止
- 学习C++: VSCode配置C++开发环境
- Hadoop 集群的基准测试
- 中国集成电路设计产业创新发展的认识和思考
- SI24R1切换收发模式问题调试与解决
- lwj_C#_集合stack栈和queue队列
- py-01-LINUX
- 超市小票案例--适合Java初级练习Scanner类以及Java基础语法的例题
- Android设备上一张图片的显示过程
- 假作真时真亦假——“真实”IP带来的安全隐患
- 一个尿毒症患者的医疗奇迹
- RSS阅读——在繁杂的社会接受纯粹的信息 RSS介绍与RSS订阅源分享