XcodeGhost折射苹果安全隐忧 保护机制有漏洞

12.10.2015  10:18

  爆发在上个月的XcodeGhost苹果安全事件已经从普通人关注的热点中退去,但对于从事安全行业的人来说,这一事件的影响其实才刚刚开始。多位手机安全业内人士对记者表示,它不仅为苹果敲响了警钟,也让安全行业开始意识到一种新的安全威胁方式的出现。在XcodeGhost背后,其实折射的是苹果在自身系统安全上的隐忧。

  □缘起

  轻描淡写的苹果和如临大敌的安全行业

  9月中旬,多家安全企业都曝光了一起名为XcodeGhost的安全事件,病毒制造者通过感染苹果应用的开发工具Xcode,让AppStore中的正版应用带上了会上传信息的恶意程序。据估算,受到影响的用户数量会超过一亿。

  “我用过微信支付,要不要换银行卡密码?!”这可能是XcodeGhost事件之后,对手机安全比较了解的人被身边朋友问起最多的话题。很多一向认为自己的手机足够安全的iPhone用户,突然发现自己手机上的资料也可能“赤裸裸”地亮在“黑客”的眼前时,其紧张程度还是要大于不断被各种病毒消息锻炼得见怪不怪的安卓手机用户。

  多数普通iPhone用户最想知道的,还是XcodeGhost事件带来的危害到底有多大,可是在这个问题上,苹果官方和安全行业之间说法迥然不同,似乎描述的并不是同一件事,这也让很多的用户感到迷惑和担忧。

  “这是AppStore自2008年上线以来遭受的规模最大的攻击,涉及用户过亿,甚至可能涉及窃取银行账户信息,如果最后被证实,在金额方面肯定能破世界纪录。”这是一位安全行业从业者在其微信公众号上对XcodeGhost事件下的结论,听起来是不是耸人听闻?也有安全工程师在其微博上表示:“不要再问我什么密码需要修改了,能改的都改过来就对了,绑定的银行卡也全部取消,这不是玩笑!

  可是反观苹果,在其官方声明中的表述是这样的:“我们目前没有任何信息表明这些恶意软件与任何恶意事件相关,也没有信息表明这些软件被使用在传播任何个人身份信息的用途上。我们目前没有看到任何客户个人身份信息受到影响,而且代码无法通过用户身份请求来获取iCloud或其他服务的密码。”言下之意,事情是有的,但安全威胁是不用担心的。

  在受到影响的应用数量上,苹果只在其官网上公布了25个知名的应用,并表示“除受影响的前25个App外,受影响的用户数量已显著减少。”可是在事件爆发的前几天,国内一些安全团队就不断刷新受影响的应用数量,他们表示,保守估计,受到影响的苹果应用数量起码在数千个以上。从几千到25,这中间的不同确实天差地别。

  □隐忧

  沙盒机制保护仍有漏洞

  事实上,苹果之所以能有底气向用户保证,此次感染了XcodeGhost病毒的应用只能提供一些基本信息,不会泄露用户的核心敏感信息,一个重要的原因是苹果所采用的“沙盒”安全机制。一些接受记者采访的应用开发者和安全从业者也表示,苹果的“沙盒”让用户遭受安全风险的可能性大大降低。

  所谓“沙盒”,是苹果公司针对应用推出的一种安全机制,应用程序只能在为该程序创建的文件系统中读取文件,不可以去其它地方访问,此区域被称为“沙盒”。在这种安全机制下,每个应用程序都有自己的“沙盒”,且不能翻过自己的围墙去访问别的“沙盒”。如果一个应用要访问到其他应用的内容,必须要获取管理员许可才行,比如地理位置、相册、通讯录、话筒等。按照苹果的系统哲学,只有把各个App孤立起来才能营造良好的用户体验和安全性。

  在苹果推出这一安全机制之初,曾经有不少开发者对此表示了强烈的不满。开发者们认为,“沙盒”的存在,让开发者失去了一些调用系统进程的权限,使得许多优秀应用的功能不能得到有效的执行,用户体验变得糟糕,甚至一些开发者因此推出了苹果阵营。不过从实际效果看,这一政策确实显著加大了恶意程序入侵系统的难度。

  尽管“沙盒”机制是一种较为严密的保护,但是就在2015中国互联网安全大会上,国内首个iOS越狱团队盘古的首席科学家王铁磊就现场讲解了利用iOS系统漏洞,在非越狱的前提下可绕开苹果的“沙盒”保护获得用户部分信息的案例。

  在演示当中,王铁磊展示了如何利用一个App在“沙盒”的防范之下,盗取了用户的桌面背景,读取了用户手机拍摄的照片,并让手机蓝屏重启。“有人觉得盗取了桌面背景和手机照片无所谓,没什么安全威胁,前提是你没有用手机拍过你的身份证或者是信用卡。”王铁磊说,而控制手机蓝屏重启就更加危险了,“说明运行在沙盒的App有能力直接和内核做交互,和内核做交流过程中,如果有非常好的漏洞可以被利用,那就可以直接获取iOS内核执行代码权限,完全获得你手机的控制权。”王铁磊表示,如果完全信赖iOS“沙盒”无异于自废武功。

  上架审核难发现威胁

  苹果更加广为人知的安全手段是每一款应用在AppStore上架前都要通过的审核,无法通过审核的应用是无法上架的。不过,这次XcodeGhost事件中,数量众多的染毒应用都顺利通过了苹果的审核,并没有被发现存在问题。

  盘古团队创始人韩争光介绍,苹果的审核有两种——手动审核和自动审核,其中手动审核很简单,就是打开应用试用,很难发现其中潜伏的恶意代码;而自动审核则是看该应用是否调用了苹果不允许使用的函数。此次的XcodeGhost被植入的代码,所执行的都是一些看似正常的指令,并没有被苹果自动审核识别为越权的行为,因此也无法被审核发现。“例如被内置代码所搜集的用户信息,这些信息正常的应用如微信也会进行收集,只是微信会上传到自己的服务器,并且不会加以恶意利用,而木马则上传到另外的服务器,还可以用到非法的用途上去。

  韩争光称,这就使得这种木马无法被苹果自动审核发现。

  另外,即便是一些非正常的调用行为,也是可以用这种方式通过苹果审核的。韩争光透露,如将一段函数进行分解调用,或者在远程服务器上设置开关,审核时关掉非法程序,而通过审核后再打开开关,都可以实现这一目的。“总而言之,苹果iOS的安全防护在所有手机操作系统中是最严密的,但也并非没有办法绕过去。

  苹果自大心态是潜在危险

  在XcodeGhost事件之后,外界对于苹果安全性质疑和批评的声音也多了起来,不过韩争光表示,苹果的iOS还是目前安全性最高的操作系统,苹果自身对于安全问题的重视程度也并不低,只是这一次的事件确实太难提前加以预防了,“在这件事上,普通用户其实提前什么也做不了,苹果和第三方的安全企业,在事件大规模爆发前,也基本上是无能为力的。

  也有安全行业业内人士认为,苹果的问题出在了过于封闭上,拒绝向第三方安全企业开放安全能力,只相信自己的力量,而安全企业由于更加专业,在安全防护上可能会比苹果自己做得更好。对此,韩争光认为,苹果要想其他安全企业开放安全能力,就必须降低“沙盒”的防范等级,这在苹果看来无疑是更加不安全的,从实际角度讲也很难说。如果苹果降低对“沙盒”的限制,让第三方来进行防护,其效果究竟是否会比苹果自己用更封闭的方式来守护安全更加有效。

  不过,360涅槃安全团队负责人高雪峰则认为,如果苹果能够放开心态,不是那么自信自己的安全水平,和安全企业进行更紧密的合作,还是能够提升其安全程度的。“就拿这一次的事件来说,我们6月份的时候就已经将上传数据的网址进行了安全标记,如果苹果能够更早得到这一信息,也会更早地让这一安全事件被发现。只是由于苹果习惯于高高在上,不愿意和其他企业进行平等合作,导致这些信息无法共享。

  韩争光也认为,苹果确实应该加以改进的是可以更加开放和积极的心态去与漏洞发现者进行沟通。他表示,微软之前对于寻找其漏洞者是持封杀的态度,之后作出了转变,建立起安全社区,和系统漏洞发现者进行交流,甚至对一些漏洞攻击方式的发现者进行奖励。奖金虽然不是很高,但是可以调动起人们的热情,帮助微软一起增强其系统的安全性。“苹果在这方面就不积极,如果能更加主动,相信能推动其安全水平更高的进步。

  □背景

  智能手机已成黑客终极目标

  事实上,在安全行业专家看来,不管是苹果还是安卓,智能手机的存在,就增加了各种个人信息泄露的可能性。

  在上个月底召开的2015中国互联网安全大会上,以色列手机安全企业Kaymera的CEO、移动安全顶尖专家AviRosen就告诫人们,智能手机已经成为“黑客”们终极的情报收集工具。“如果‘黑’进某个人的手机,就可以了解到他的语音通信、文字通信或者电邮等其他任何通信方式,还可以获得他在网上的账户信息”。AviRosen称,利用一个人的电话号码、电邮地址、最近的通话记录、社交网络、社交网络当中的朋友,“黑客”可以绘制这个手机中所有联系人的社会联系图,可以攻击跟这个人有密切接触的人。

  另外,AviRosen还表示,智能手机也是非常强大的监测工具,每个智能手机都有麦克风,可以被远程控制变成窃听器;有摄像头,可以被远程控制变成偷窥镜;还有全球定位系统以及无线网络,可以被人实时锁定所在位置。实际上,AviRosen所介绍的这些,正是香港系列电影《窃听风云》中所展现的。

  (记者古晓宇)

{