Apple ทำให้การแฮ็ก iPhone ในประเทศยากขึ้นมาก

Apple กำลังแนะนำเทคนิคการรักษาความปลอดภัยใหม่ใน iOS 14.5 ซึ่งจะทำให้รัฐชาติแฮ็คผู้ใช้ iPhone โดยที่พวกเขาไม่รู้ได้ยากขึ้น

แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐได้ใช้สิ่งที่เรียกว่าการหาประโยชน์จากคลิก 0 ซึ่งโทรศัพท์ถูกแฮ็กโดยไม่มีการโต้ตอบกับผู้ใช้ เพื่อสอดแนมผู้ต้องสงสัยและผู้ไม่เห็นด้วยมานานหลายปีแล้ว

ในปี 2016 แฮกเกอร์ที่ทำงานให้กับรัฐบาลสหรัฐอาหรับเอมิเรตส์ใช้รหัสเครื่องมือแฮ็ค iPhone แบบไม่ต้องคลิกชื่อ Karma เพื่อเจาะเข้าไปในโทรศัพท์ของเป้าหมายหลายร้อยรายการ ในปี 2020 กลุ่มสิทธิดิจิทัล Citizen Lab เปิดเผยว่านักข่าวและบรรณาธิการ 36 คนที่ Al Jazeera ตกเป็นเป้าหมายของการแฮ็ก iPhone แบบไม่ต้องคลิก

เพื่อจัดการกับการโจมตีทั้งกลุ่มนี้ Apple ได้แนะนำ Pointer Authentication Codes (หรือ PAC) ซึ่งตรวจสอบความถูกต้องของตัวชี้ด้วยการเข้ารหัสเพื่อป้องกันไม่ให้แฮ็กเกอร์เรียกใช้โค้ดที่เป็นอันตราย

“ในปัจจุบันนี้ เนื่องจากพอยน์เตอร์ได้รับการเซ็นชื่อแล้ว จึงเป็นการยากที่จะทำให้พอยน์เตอร์เหล่านี้เสียหายเพื่อจัดการกับอ็อบเจกต์ในระบบ ออบเจ็กต์เหล่านี้ถูกใช้เป็นหลักในการหลบหนีจากแซนด์บ็อกซ์และการคลิก 0 ครั้ง” อดัม โดเนนเฟลด์จากบริษัทรักษาความปลอดภัย Zimperium กล่าว

นักวิจัยด้านความปลอดภัยอีกหลายคนเห็นด้วยกับเขา

“มันจะทำให้การคลิก 0 ครั้งยากขึ้นอย่างแน่นอน แซนด์บ็อกซ์ก็หนีเช่นกัน ยากขึ้นอย่างมาก” แหล่งข่าวที่พัฒนาช่องโหว่สำหรับลูกค้าภาครัฐบอกกับมาเธอร์บอร์ด

นักวิจัยด้านความปลอดภัยอีกคนหนึ่งกล่าวว่าแฮ็กเกอร์ iPhone หลายคนกังวล "เพราะเทคนิคบางอย่างสูญหายไปอย่างไม่สามารถแก้ไขได้"

แน่นอนว่าไม่มีการรักษาความปลอดภัยที่สมบูรณ์แบบ

“เมื่อมีเจตจำนงย่อมมีวิธี—มักจะมีข้อบกพร่องอยู่เสมอ ไม่ว่าจะอยู่ใน PAC หรือจะเป็นกลยุทธ์การแสวงหาผลประโยชน์ที่ต่างไปจากเดิมอย่างสิ้นเชิง” เจมี่ บิชอป หนึ่งในนักพัฒนาของ Checkra1n เจลเบรกยอดนิยม “การบรรเทาผลกระทบนี้ในความเป็นจริงอาจทำให้ต้นทุนเพิ่มขึ้นจากการคลิก 0 ครั้ง แต่ผู้โจมตีที่มีทรัพยากรจำนวนมากยังคงสามารถดึงมันออกมาได้”

ผ่านทาง รอง