Biztonság a motorháztető alatt – a Black Hat konferencián ad elő Ivan Krstić

Megjelent a visionOS 1.1.2 – fontos hibajavítások, részletek nélkül

Megjelent az iPadOS 17.4.1 – fontos hibajavítások és biztonsági frissítések

Megjelent az iOS 17.4.1 – fontos hibajavítások és biztonsági frissítések

Megjelent a tvOS és HomePod Software 17.4 – egy Siri újdonság a HomePodokon, fejlesztések

Ivan Krstić, az Apple biztonságért felelős mérnökcsapatának vezetője is részt vesz az idei Black Hat konferencián.

A szakértő szűk egyórás előadásában az iOS biztonságát megalapozó technológiákról fog beszámolni, a bevezető szavaival élve “eddig soha nem látott részletességgel”.

Krstić egészen pontosan az iOS 10 három fontos biztonsági összetevőjét mutatja be, elsőként a HomeKit és az iCloud Keychain mögött álló kriptográfiai módszereket.

A második téma az összefoglalóan csak elegáns egyszerűséggel Data Protection névre keresztelt biztonsági rendszer lesz, amely az iOS-készülékeken együttműködik többek között a Secure Enclave-vel, és új, biztonságosabb kulcsszármaztatási (key derivation) megoldásokat tesz lehetővé.

Az prezentáció harmadik pillére egy, a jailbreakelés szempontjából is potenciálisan fontos részlet: az előadó olyan, a Safari böngésző JavaScript-motorjának futásidejű fordítójában (JIT) alkalmazott technikákat mutat be, amelyek a lehetséges támadási felületet csökkentik. Ezt információbiztonsági szakzsargonnal élve sokszor “hardening” néven említik.

Az iOS-t már több alkalommal sikerült a böngészőben talált sebezhetőségek segítségével jailbreakelni; igaz, ezek a hibák általában nem a JavaScript-interpreterben, hanem valamilyen grafikus megjelenítő kódban – képkirajzolás, betűtípus-kezelés vagy éppen PDF-renderelés – voltak. Ennek ellenére a böngészők sérülékenysége nemcsak a mobileszközökön, de minden platformon aktuális probléma.

Az augusztus 4-én tartandó előadásról bővebb információt is találhatunk a Black Hat 2016 konferencia hivatalos oldalán.

Érdekes, hogy az Apple nem most van először hivatalosan jelen a nagymúltú hackertalálkozón. Még 2012-ben történt, hogy az iOS Platform Security Group vezetője, Dallas De Atley lépett a színpadra. Előadása azonban akkor nem aratott sikert: a New York Times egyenesen a “nyilvánosan elérhető cikkek összeollózásának” titulálta azt. A részletességet és technikai elmélyülést igérő bevezetés alapján joggal remélhetjük, hogy az idei eseményt kedvezőbben fogadja a hallgatóság.