Apple ha integrato nei suoi nuovi processori A19 alcune specifiche tecnologie che mirano a "irrobustire" la difesa contro gli spyware commerciali
Autore: Redazione SecurityOpenLab
Nessun dispositivo contiene dati personali e sensibili, o i mezzi per accedervi online, più del nostro smartphone. Che è quindi un bersaglio pregiato per i threat actor, come tra l'altro dimostra un mercato dello spyware commerciale sempre fiorente e dinamico nonostante i tentativi, anche direttamente dei Governi, di limitarlo. Senza grande successo, peraltro, anche perché diverse Agenzie di quegli stessi Governi sono interessate a usarli, gli spyware.
È quindi molto più sensato che la difesa contro spyware e altri tipi di malware sia "by design" integrata nei sistemi operativi e anche nell'hardware dei dispositivi mobili. Un obiettivo che tutti i produttori coinvolti stanno perseguendo da tempo, in particolare Apple data la popolarità dei suoi iPhone. E dato il vantaggio che la casa di Cupertino ha per tutte le sue piattaforme: un controllo completo dello stack hardware e software che le permette di realizzare approcci tecnologici davvero integrati.
Con il lancio dei nuovi iPhone Air e iPhone 17 e dei loro processori A19 in tecnologia ARM, sempre progettati da Apple, questo approccio integrato ha permesso di introdurre nuove funzioni di "memory safety" che dovrebbero, nelle intenzioni, aumentare il livello di difesa contro i malware che cercano in vario modo di accedere illecitamente alla memoria dei device iOS.
La base di partenza per le nuove funzioni Apple è ben collaudata e disponibile anche per il sistema operativo "concorrente", Android: si tratta delle specifiche Memory Tagging Extension (MTE) che ARM ha definito già nel 2019. In estrema sintesi, il memory tagging funziona così: quando una applicazione lecita alloca un'area di memoria, la "etichetta" con un codice univoco a 4 bit. Qualsiasi accesso successivo a quella zona di memoria effettuato da altre applicazioni deve presentare quello stesso codice identificativo, altrimenti il processore del device suppone che si tratti di una richiesta illecita, la blocca e termina l'applicazione che l'ha generata.
MTE è utile, secondo Apple, ma come sistema di difesa in tempo reale dagli spyware può non essere abbastanza robusto. Per questo a Cupertino hanno studiato una specifica ancora più stringente - Enhanced Memory Tagging Extension (EMTE), pubblicata nel 2022 e adottata da allora nei sistemi Apple. La novità di adesso è che EMTE viene affiancata da alcuni nuovi accorgimenti e integrata direttamente in hardware e nello stack software dei nuovi iPhone, si suppone da qui in avanti. Questa nuova combinazione di misure di protezione della memoria prende il nome di Memory Integrity Enforcement (MIE).
MIE si basa sull'integrazione di approcci di sicurezza "by default" a vari livelli dello stack hardware e software. Parte direttamente dalla fase di sviluppo delle applicazioni, imponendo l'uso di istruzioni sicure per l'allocazione della memoria. Queste istruzioni abilitano un tagging della memoria fatto in modo da evitare le forme di attacco alla memoria più comuni, come i buffer overflow.
Inoltre, MIE prevede un controllo approfondito anche delle richieste di accesso alle zone di memoria non taggate esplicitamente e implementa un sistema di generazione e gestione delle tag che non è vulnerabile ad attacchi di "speculative execution" come il famigerato Spectre. In MIE c'è ovviamente molto di più: Apple ha pubblicato un lungo post che ne dettaglia il funzionamento.
A Cupertino considerano MIE un approccio molto efficace alla sicurezza mobile. Soprattutto perché prima di rilasciare i nuovi prodotti che lo usano, MIE è stato ampiamente testato dai team di offensive research di Apple, che hanno replicato le forme di attacco e violazione utilizzate tipicamente dallo spyware commerciale (e anche da attaccanti meno insidiosi).
Certo MIE non è invulnerabile, ma le vulnerabilità che lo mettono in crisi sono secondo Apple estremamente rare e si prestano poco a supportare una catena di exploit completa. Apple - e non solo lei, ma a Cupertino hanno una lunga storia di lotta diretta allo spyware - infatti punta anche sul fatto che gli exploit per la violazione dei device mobili richiedono di completare con successo molti passi in sequenza: basta bloccarne uno per invalidare l'intera strategia di attacco di un exploit.
D'altronde, spiega Apple stessa, l'obiettivo delle strategie tecniche di difesa non è garantire una totale sicurezza teorica, che è impossibile da ottenere, ma fare in modo che un malware o un attacco siano troppo complessi e costosi da realizzare, anche per chi fa spyware commerciale e ha motivazioni economiche molto forti.