XcodeGhost折射蘋果安全隱憂 沙盒機(jī)制保護(hù)有漏洞

責(zé)任編輯:editor004

作者:古曉宇

2015-10-12 10:28:57

摘自:京華時(shí)報(bào)

爆發(fā)在上個(gè)月的XcodeGhost蘋果安全事件已經(jīng)從普通人關(guān)注的熱點(diǎn)中退去,但對(duì)于從事安全行業(yè)的人來說,這一事件的影響其實(shí)才剛剛開始。

爆發(fā)在上個(gè)月的XcodeGhost蘋果安全事件已經(jīng)從普通人關(guān)注的熱點(diǎn)中退去,但對(duì)于從事安全行業(yè)的人來說,這一事件的影響其實(shí)才剛剛開始。多位手機(jī)安全業(yè)內(nèi)人士對(duì)記者表示,它不僅為蘋果敲響了警鐘,也讓安全行業(yè)開始意識(shí)到一種新的安全威脅方式的出現(xiàn)。在XcodeGhost背后,其實(shí)折射的是蘋果在自身系統(tǒng)安全上的隱憂。

□緣起

輕描淡寫的蘋果和如臨大敵的安全行業(yè)

9月中旬,多家安全企業(yè)都曝光了一起名為XcodeGhost的安全事件,病毒制造者通過感染蘋果應(yīng)用的開發(fā)工具Xcode,讓AppStore中的正版應(yīng)用帶上了會(huì)上傳信息的惡意程序。據(jù)估算,受到影響的用戶數(shù)量會(huì)超過一億。

“我用過微信支付,要不要換銀行卡密碼?!”這可能是XcodeGhost事件之后,對(duì)手機(jī)安全比較了解的人被身邊朋友問起最多的話題。很多一向認(rèn)為自己的手機(jī)足夠安全的iPhone用戶,突然發(fā)現(xiàn)自己手機(jī)上的資料也可能“赤裸裸”地亮在“黑客”的眼前時(shí),其緊張程度還是要大于不斷被各種病毒消息鍛煉得見怪不怪的安卓手機(jī)用戶。

多數(shù)普通iPhone用戶最想知道的,還是XcodeGhost事件帶來的危害到底有多大,可是在這個(gè)問題上,蘋果官方和安全行業(yè)之間說法迥然不同,似乎描述的并不是同一件事,這也讓很多的用戶感到迷惑和擔(dān)憂。

“這是AppStore自2008年上線以來遭受的規(guī)模最大的攻擊,涉及用戶過億,甚至可能涉及竊取銀行賬戶信息,如果最后被證實(shí),在金額方面肯定能破世界紀(jì)錄。”這是一位安全行業(yè)從業(yè)者在其微信公眾號(hào)上對(duì)XcodeGhost事件下的結(jié)論,聽起來是不是聳人聽聞?也有安全工程師在其微博上表示:“不要再問我什么密碼需要修改了,能改的都改過來就對(duì)了,綁定的銀行卡也全部取消,這不是玩笑!”

可是反觀蘋果,在其官方聲明中的表述是這樣的:“我們目前沒有任何信息表明這些惡意軟件與任何惡意事件相關(guān),也沒有信息表明這些軟件被使用在傳播任何個(gè)人身份信息的用途上。我們目前沒有看到任何客戶個(gè)人身份信息受到影響,而且代碼無法通過用戶身份請(qǐng)求來獲取iCloud或其他服務(wù)的密碼。”言下之意,事情是有的,但安全威脅是不用擔(dān)心的。

在受到影響的應(yīng)用數(shù)量上,蘋果只在其官網(wǎng)上公布了25個(gè)知名的應(yīng)用,并表示“除受影響的前25個(gè)App外,受影響的用戶數(shù)量已顯著減少。”可是在事件爆發(fā)的前幾天,國(guó)內(nèi)一些安全團(tuán)隊(duì)就不斷刷新受影響的應(yīng)用數(shù)量,他們表示,保守估計(jì),受到影響的蘋果應(yīng)用數(shù)量起碼在數(shù)千個(gè)以上。從幾千到25,這中間的不同確實(shí)天差地別。

□隱憂

沙盒機(jī)制保護(hù)仍有漏洞

事實(shí)上,蘋果之所以能有底氣向用戶保證,此次感染了XcodeGhost病毒的應(yīng)用只能提供一些基本信息,不會(huì)泄露用戶的核心敏感信息,一個(gè)重要的原因是蘋果所采用的“沙盒”安全機(jī)制。一些接受記者采訪的應(yīng)用開發(fā)者和安全從業(yè)者也表示,蘋果的“沙盒”讓用戶遭受安全風(fēng)險(xiǎn)的可能性大大降低。

所謂“沙盒”,是蘋果公司針對(duì)應(yīng)用推出的一種安全機(jī)制,應(yīng)用程序只能在為該程序創(chuàng)建的文件系統(tǒng)中讀取文件,不可以去其它地方訪問,此區(qū)域被稱為“沙盒”。在這種安全機(jī)制下,每個(gè)應(yīng)用程序都有自己的“沙盒”,且不能翻過自己的圍墻去訪問別的“沙盒”。如果一個(gè)應(yīng)用要訪問到其他應(yīng)用的內(nèi)容,必須要獲取管理員許可才行,比如地理位置、相冊(cè)、通訊錄、話筒等。按照蘋果的系統(tǒng)哲學(xué),只有把各個(gè)App孤立起來才能營(yíng)造良好的用戶體驗(yàn)和安全性。

在蘋果推出這一安全機(jī)制之初,曾經(jīng)有不少開發(fā)者對(duì)此表示了強(qiáng)烈的不滿。開發(fā)者們認(rèn)為,“沙盒”的存在,讓開發(fā)者失去了一些調(diào)用系統(tǒng)進(jìn)程的權(quán)限,使得許多優(yōu)秀應(yīng)用的功能不能得到有效的執(zhí)行,用戶體驗(yàn)變得糟糕,甚至一些開發(fā)者因此推出了蘋果陣營(yíng)。不過從實(shí)際效果看,這一政策確實(shí)顯著加大了惡意程序入侵系統(tǒng)的難度。

盡管“沙盒”機(jī)制是一種較為嚴(yán)密的保護(hù),但是就在2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)上,國(guó)內(nèi)首個(gè)iOS越獄團(tuán)隊(duì)盤古的首席科學(xué)家王鐵磊就現(xiàn)場(chǎng)講解了利用iOS系統(tǒng)漏洞,在非越獄的前提下可繞開蘋果的“沙盒”保護(hù)獲得用戶部分信息的案例。

在演示當(dāng)中,王鐵磊展示了如何利用一個(gè)App在“沙盒”的防范之下,盜取了用戶的桌面背景,讀取了用戶手機(jī)拍攝的照片,并讓手機(jī)藍(lán)屏重啟。“有人覺得盜取了桌面背景和手機(jī)照片無所謂,沒什么安全威脅,前提是你沒有用手機(jī)拍過你的身份證或者是信用卡。”王鐵磊說,而控制手機(jī)藍(lán)屏重啟就更加危險(xiǎn)了,“說明運(yùn)行在沙盒的App有能力直接和內(nèi)核做交互,和內(nèi)核做交流過程中,如果有非常好的漏洞可以被利用,那就可以直接獲取iOS內(nèi)核執(zhí)行代碼權(quán)限,完全獲得你手機(jī)的控制權(quán)。”王鐵磊表示,如果完全信賴iOS“沙盒”無異于自廢武功。

上架審核難發(fā)現(xiàn)威脅

蘋果更加廣為人知的安全手段是每一款應(yīng)用在AppStore上架前都要通過的審核,無法通過審核的應(yīng)用是無法上架的。不過,這次XcodeGhost事件中,數(shù)量眾多的染毒應(yīng)用都順利通過了蘋果的審核,并沒有被發(fā)現(xiàn)存在問題。

盤古團(tuán)隊(duì)創(chuàng)始人韓爭(zhēng)光介紹,蘋果的審核有兩種——手動(dòng)審核和自動(dòng)審核,其中手動(dòng)審核很簡(jiǎn)單,就是打開應(yīng)用試用,很難發(fā)現(xiàn)其中潛伏的惡意代碼;而自動(dòng)審核則是看該應(yīng)用是否調(diào)用了蘋果不允許使用的函數(shù)。此次的XcodeGhost被植入的代碼,所執(zhí)行的都是一些看似正常的指令,并沒有被蘋果自動(dòng)審核識(shí)別為越權(quán)的行為,因此也無法被審核發(fā)現(xiàn)。“例如被內(nèi)置代碼所搜集的用戶信息,這些信息正常的應(yīng)用如微信也會(huì)進(jìn)行收集,只是微信會(huì)上傳到自己的服務(wù)器,并且不會(huì)加以惡意利用,而木馬則上傳到另外的服務(wù)器,還可以用到非法的用途上去。”

韓爭(zhēng)光稱,這就使得這種木馬無法被蘋果自動(dòng)審核發(fā)現(xiàn)。

另外,即便是一些非正常的調(diào)用行為,也是可以用這種方式通過蘋果審核的。韓爭(zhēng)光透露,如將一段函數(shù)進(jìn)行分解調(diào)用,或者在遠(yuǎn)程服務(wù)器上設(shè)置開關(guān),審核時(shí)關(guān)掉非法程序,而通過審核后再打開開關(guān),都可以實(shí)現(xiàn)這一目的。“總而言之,蘋果iOS的安全防護(hù)在所有手機(jī)操作系統(tǒng)中是最嚴(yán)密的,但也并非沒有辦法繞過去。”

蘋果自大心態(tài)是潛在危險(xiǎn)

在XcodeGhost事件之后,外界對(duì)于蘋果安全性質(zhì)疑和批評(píng)的聲音也多了起來,不過韓爭(zhēng)光表示,蘋果的iOS還是目前安全性最高的操作系統(tǒng),蘋果自身對(duì)于安全問題的重視程度也并不低,只是這一次的事件確實(shí)太難提前加以預(yù)防了,“在這件事上,普通用戶其實(shí)提前什么也做不了,蘋果和第三方的安全企業(yè),在事件大規(guī)模爆發(fā)前,也基本上是無能為力的。”

也有安全行業(yè)業(yè)內(nèi)人士認(rèn)為,蘋果的問題出在了過于封閉上,拒絕向第三方安全企業(yè)開放安全能力,只相信自己的力量,而安全企業(yè)由于更加專業(yè),在安全防護(hù)上可能會(huì)比蘋果自己做得更好。對(duì)此,韓爭(zhēng)光認(rèn)為,蘋果要想其他安全企業(yè)開放安全能力,就必須降低“沙盒”的防范等級(jí),這在蘋果看來無疑是更加不安全的,從實(shí)際角度講也很難說。如果蘋果降低對(duì)“沙盒”的限制,讓第三方來進(jìn)行防護(hù),其效果究竟是否會(huì)比蘋果自己用更封閉的方式來守護(hù)安全更加有效。

不過,360涅槃安全團(tuán)隊(duì)負(fù)責(zé)人高雪峰則認(rèn)為,如果蘋果能夠放開心態(tài),不是那么自信自己的安全水平,和安全企業(yè)進(jìn)行更緊密的合作,還是能夠提升其安全程度的。“就拿這一次的事件來說,我們6月份的時(shí)候就已經(jīng)將上傳數(shù)據(jù)的網(wǎng)址進(jìn)行了安全標(biāo)記,如果蘋果能夠更早得到這一信息,也會(huì)更早地讓這一安全事件被發(fā)現(xiàn)。只是由于蘋果習(xí)慣于高高在上,不愿意和其他企業(yè)進(jìn)行平等合作,導(dǎo)致這些信息無法共享。”

韓爭(zhēng)光也認(rèn)為,蘋果確實(shí)應(yīng)該加以改進(jìn)的是可以更加開放和積極的心態(tài)去與漏洞發(fā)現(xiàn)者進(jìn)行溝通。他表示,微軟之前對(duì)于尋找其漏洞者是持封殺的態(tài)度,之后作出了轉(zhuǎn)變,建立起安全社區(qū),和系統(tǒng)漏洞發(fā)現(xiàn)者進(jìn)行交流,甚至對(duì)一些漏洞攻擊方式的發(fā)現(xiàn)者進(jìn)行獎(jiǎng)勵(lì)。獎(jiǎng)金雖然不是很高,但是可以調(diào)動(dòng)起人們的熱情,幫助微軟一起增強(qiáng)其系統(tǒng)的安全性。“蘋果在這方面就不積極,如果能更加主動(dòng),相信能推動(dòng)其安全水平更高的進(jìn)步。”

□背景

智能手機(jī)已成黑客終極目標(biāo)

事實(shí)上,在安全行業(yè)專家看來,不管是蘋果還是安卓,智能手機(jī)的存在,就增加了各種個(gè)人信息泄露的可能性。

在上個(gè)月底召開的2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)上,以色列手機(jī)安全企業(yè)Kaymera的CEO、移動(dòng)安全頂尖專家AviRosen就告誡人們,智能手機(jī)已經(jīng)成為“黑客”們終極的情報(bào)收集工具。“如果‘黑’進(jìn)某個(gè)人的手機(jī),就可以了解到他的語(yǔ)音通信、文字通信或者電郵等其他任何通信方式,還可以獲得他在網(wǎng)上的賬戶信息”。AviRosen稱,利用一個(gè)人的電話號(hào)碼、電郵地址、最近的通話記錄、社交網(wǎng)絡(luò)、社交網(wǎng)絡(luò)當(dāng)中的朋友,“黑客”可以繪制這個(gè)手機(jī)中所有聯(lián)系人的社會(huì)聯(lián)系圖,可以攻擊跟這個(gè)人有密切接觸的人。

另外,AviRosen還表示,智能手機(jī)也是非常強(qiáng)大的監(jiān)測(cè)工具,每個(gè)智能手機(jī)都有麥克風(fēng),可以被遠(yuǎn)程控制變成竊聽器;有攝像頭,可以被遠(yuǎn)程控制變成偷窺鏡;還有全球定位系統(tǒng)以及無線網(wǎng)絡(luò),可以被人實(shí)時(shí)鎖定所在位置。實(shí)際上,AviRosen所介紹的這些,正是香港系列電影《竊聽風(fēng)云》中所展現(xiàn)的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)