Memory Integrity Enforcement da Apple

• A Apple introduziu o Memory Integrity Enforcement (MIE), concluindo um sistema inovador de segurança de memória que combina hardware Apple Silicon com proteções avançadas do sistema operacional
• O MIE protege superfícies de ataque críticas com ativação permanente e é aplicado a todos os dispositivos iPhone 17 e iPhone Air sem perda de desempenho
• Ao combinar o Enhanced Memory Tagging Extension (EMTE), um alocador de memória seguro e uma política de confidencialidade de tags, aumenta de forma significativa a resistência contra ataques maliciosos
• Com verificação síncrona de tags e integração sofisticada entre sistema operacional e hardware, a prevenção de buffer overflows e vulnerabilidades de use-after-free é maximizada
• Por meio de anos de pesquisa agressiva e avaliações internas, a Apple conseguiu restringir a liberdade de ação dos atacantes e alcançar o mais forte nível atual de segurança de memória

Introdução

• O Memory Integrity Enforcement (MIE) da Apple é uma tecnologia de proteção de segurança de memória sempre ativa que integra hardware Apple Silicon e segurança avançada do sistema operacional
• Foi desenvolvido com o objetivo de oferecer o primeiro sistema amplo de segurança de memória do setor em diversos dispositivos Apple, sem degradação adicional de desempenho
• A Apple o considera um dos avanços mais importantes da história da segurança de memória em sistemas operacionais para consumidores

Contexto das ameaças de segurança e evolução da segurança de memória

• O motivo de o iPhone não ter casos conhecidos de sucesso em ataques massivos de malware é que, na prática, as únicas ameaças observadas são cadeias de ataque complexas centradas em mercenary spyware
• Esses ataques sofisticados, voltados a poucos alvos e custando milhões de dólares, exploram em comum vulnerabilidades de segurança de memória
• A Apple vem melhorando continuamente a segurança de memória com o desenvolvimento de linguagens seguras como Swift, a introdução de alocadores de memória seguros e grandes mitigadores em todo o sistema
• Ao introduzir o Pointer Authentication Code (PAC) pela primeira vez no mundo com o A12 Bionic, estabeleceu a segurança combinando hardware e software como tendência dominante

Tecnologia de tagging de memória baseada em hardware (MTE/EMTE) e superação de limitações

• O Memory Tagging Extension (MTE), proposto pela Arm, atribui uma tag secreta a cada alocação de memória e permite acesso apenas com a tag correta
• A Apple identificou limitações no design original do MTE, como operação assíncrona, e trabalhou com a Arm para aprimorá-lo no Enhanced Memory Tagging Extension (EMTE)
• O ponto central é que a verificação de tags foi projetada para operar de forma sempre síncrona, oferecendo proteção contínua

Estrutura em camadas do MIE e principais mecanismos de proteção

• O MIE é composto por três elementos: alocadores seguros com consciência de tipo, como kalloc_type, xzone malloc e libpas do WebKit, além de EMTE e a política de Tag Confidentiality Enforcement (proteção da confidencialidade das tags)
• Os alocadores oferecem proteção por página de memória entre diferentes tipos, enquanto o EMTE cobre até vulnerabilidades em pequenas alocações de memória dentro de buckets do mesmo tipo
• Contra ataques comuns de corrupção de memória, como buffer overflow e use-after-free, hardware e sistema operacional detectam e bloqueiam imediatamente o problema usando tagging e retagging

Estratégia de confidencialidade de tags e resposta a ataques de canal lateral

• Para impedir que atacantes visem o armazenamento do alocador e a exposição de tags, foram adotadas proteções fortes como o Secure Page Table Monitor
• Para enfrentar ataques de canal lateral que exploram speculative execution, o Apple Silicon foi projetado para bloquear na origem qualquer impacto da execução especulativa causado por informações de tags
• A vulnerabilidade Spectre V1 também é bloqueada de forma eficiente, interrompendo na maioria dos casos os vínculos práticos necessários para um ataque real

Resposta integrada de software e hardware e aplicação geral

• No projeto dos novos chips A19/A19 Pro, foram adicionados amplos recursos extras de hardware para armazenamento e verificação de tags
• O MIE usa primeiro alocadores seguros para proteger via software as áreas em que isso é possível, enquanto o EMTE é aplicado de forma precisa às regiões que não podem ser defendidas por software
• O plano de implantação também foi refinado para que modelos antigos de iPhone possam receber o máximo possível de melhorias de segurança de memória

Avaliação prática de segurança e análise de efetividade

• A equipe de pesquisa ofensiva da Apple construiu vários cenários de ataque desde o planejamento do MIE entre 2020 e 2025 e repetiu tentativas reais de intrusão até mesmo em protótipos de hardware
• Tanto em cadeias de exploit novas quanto antigas, foi confirmado que, com o MIE, a maior parte das etapas de ataque é bloqueada de forma fundamental
• Mesmo as poucas vulnerabilidades remanescentes não permitem ataques estáveis, reduzindo drasticamente a possibilidade de dano real

Conclusão

• A segurança de nível líder do setor no iPhone limita a própria exposição a ataques em nível de sistema para a grande maioria dos usuários
• O MIE neutraliza as estratégias de ataque mais complexas e caras usadas por mercenary spyware e mantém proteção permanente inclusive para mais de 70 processos importantes em espaço de usuário, além do kernel
• A avaliação mostrou que ele aumenta fortemente o custo e a dificuldade de exploração de vulnerabilidades de corrupção de memória, bloqueando com robustez a principal técnica de ataque dos últimos 25 anos
• O MIE se estabelece como a maior mudança na história da segurança de memória em sistemas operacionais para consumidores no iOS e nos dispositivos Apple