爆發在上(shang)個月的(de)�����XcodeGhost蘋果安(an)全事件已(yi)經從普(pu)通人(ren)關注的(de)熱(re)點中退去,但對于從事安(an)全行業的(de)人(ren)來說,這一事件的(de)影響其實(shi)才剛剛開(kai)始。多位手機(ji)安(an)全業內人(ren)士(shi)對記(ji)者表示,它(ta)不僅為蘋果敲響了警鐘,也讓(rang)安(an)全行業開(kai)始意識(shi)到(dao)一種新(xin)的(de)安(an)全威(wei)脅方(fang)式的(de)出(chu)現。在XcodeGhost背后,其實(shi)折射的(de)是蘋果在自身系統安(an)全上(shang)的(de)隱(yin)憂。
緣起
輕描淡(dan)寫(xie)的(de)蘋果和如臨大敵的(de)安全(quan)行業
9月中旬,多家安全企業都曝光了一(yi)起(qi)名為XcodeGhost的(de)安全事件(jian),病毒制造者通(tong)過感染(ran)蘋(pin)果應(ying)用的(de)開發工具���Xcode,讓AppStore中的(de)正版應(ying)用帶上了會上傳信息的(de)惡意程(cheng)序。據估算(suan)����,受到影響的(de)用戶(hu)數(shu)量會超(chao)過一(yi)億。
“我用過微信支付,要不(bu)要換銀行卡密碼(ma)?!”這可能(neng)是XcodeGhost���������事件之(zhi)后,對手機安全比較(jiao)了解的(de)人被身邊朋友(you)問起(qi)最(zui)多的(de)話題(ti)。很(hen)多一(yi)向(xiang)認為自己(ji)的(de)手機足夠安全的(de)iPhone用戶,突然發現自己(ji)手機上的(de)資料(liao)也可能(neng)“赤裸裸”地(di)亮在“黑(hei)客(ke)”的(de������)眼前時(shi),其緊(jin)張程度還是要大于(yu)不(bu)斷被各種(zhong)病毒(du)消(xiao)息鍛煉得(de)見怪不(bu)怪的(de)安卓手機用戶。
多數普通iPhone用(yong)戶最想知(zhi)道的(de)(de)(de),還是XcodeGhost事(shi)件(jian)帶(dai)來的(de)(de)(de)危害到(dao)底(di)有多大,可是在這(zhe)個(ge)問題上(shang),蘋(pin)果官方和安全行業之間說法(fa)迥然不同(tong),似乎(hu)描述的(de)(de)(de)并不是同(tong)一件(jian)事(shi),這(zhe)也讓很多的(de)(de)(de)用(yong)戶感(gan�����)到(dao)迷惑和擔憂。
“這(zhe)是(shi)AppStore自2008年上(shang)線(xian)以來(lai)遭受的(de)(de)(de)規模(mo)最大的(de)(de)(de)攻擊(ji),涉及用戶過億,甚至(zhi)可能涉及竊取(qu)(qu)銀行賬戶信息,如果最后(hou)被�������證(zheng)實,在(zai)金(jin)額方面肯定能破世界紀錄。”這(zhe)是(shi)一位安全行業從業者在(zai)其(qi)(qi)微(wei)信公眾號上(shang)對XcodeGhost事(shi)件下的(de)(de)(de)結(jie)論,聽(ting)起來(lai)是(shi)不是(shi)聳人聽(ting)聞(wen)?也有安全工(gong)程師在(zai)其(qi)(qi)微(wei)博上(shang)表示(shi):“不要再(zai)問我什么(me)密碼需(xu)要修改了(le)(le),能改的(de)(de)(de)都改過來(lai)就對了(le)(le),綁定的(de)(de)(de)銀行卡也全部(bu)取(qu)(qu)消(xiao),這(zhe)不是(shi)玩笑(xiao)!”
可是(shi)反觀蘋(pin)果,在其(qi)官方聲明(ming)中的(de)(de)表述是(shi)這(zhe)樣的(de)(de):“我(wo)們目前(qian)沒有任(ren)何(he)信(xin)(xin)息表明(ming)這(zhe)些惡意(yi)軟件(jian)與任(ren)何(he)惡意(yi)事(shi)件(jian)相關,也沒有信(xin)(xin)息表明(ming)這(zhe)些軟件(jian)被使用在傳播(bo)任(ren)何(he)個人身份信(xin)(xin)息的(de)(de)用途上。我(wo)們目前(qian)沒有看到(dao)任(ren)何(he)客戶(hu)個人身份信(xin)(xin)息受(shou)到(dao)影(yin����g)響(xiang),而且代碼無法通過用戶(hu)身份請求來獲(huo)取iCloud或其(qi)他服務(wu)的(de)(de)密碼。”言(yan)下之意(yi),事(shi)情是(shi)有的(de)(de),但安全威(wei)脅(xie������)是(shi)不(bu)用擔心的(de)(de)。
在受(shou)到(dao)影響的(de)應(ying)(ying)用(yong)數量上,蘋果只在其(qi)官網上公布了(le)25個知(�����zhi)名的(de)應(ying)(ying)用(yong),并(bing)表示(shi)“除(chu)受(shou)影響的(de)前25個App外,受(shou)影響的(de)用(yong)戶數量已顯(xian)著減(jian)少。”可是在事件爆發的(de)前幾天,國內一些安全團隊(dui)就(jiu)不(bu)斷刷新受(shou)影響的(de)應(ying)(ying)�������用(yong)數量,他們表示(shi),保(bao)守估(gu)計(ji),受(shou)到(dao)影響的(de)蘋果應(ying)(ying)用(yong)數量起碼在數千個以(yi)上。從幾千到(dao)25,這中間的(de)不(bu)同確實天差地別。
隱憂
沙盒機制保護仍(reng)有漏洞
事(shi)實上,蘋(pin)(pin)果(guo)之所以能(neng)有底氣向(xiang)用(yong)(yong)戶保證,此次感染了XcodeGhost病毒的(de)(de)應(ying)用(yong)(yong)只(zhi)能(neng)提供(gong)一(yi)(yi)些(xie)基本信息,不會泄露用(yong)(yong)戶的(de)(de)核心敏感信息,一(yi)(yi)個重要的(de)(de)原因是蘋(pin)(pin)果(guo)所采用(yong)(yong)的(de)(de)“沙盒”安全(quan)機制。一(yi)(yi)些(xie)接(jie)受(shou)記者(zhe)采訪的(de)(de)應(ying)用(yong)(yong)開發者(zhe)和安全(quan)從(cong)業(ye)者(zhe)也表示,蘋(pin)�����(pin)果(guo)的(de)(de)“沙盒”讓用(yong)(yong)戶遭受(shou)安全(quan)風險的(de)(de)可能(neng)性大大降(jiang)低。
所(suo)謂“沙盒(he)”,是蘋果公司(si)針對應(ying)用(yong)(yong)(yong)推出的(de)(de)(de)一(yi)種安(an)全(quan)機制,應(ying)用(yong)(yong)(yong)程序只能(neng)在為(wei)(wei)該(gai)程序創(chuang)建的(de)(de)(de)文件系(xi)統中(zhong)讀取(qu)文件,不(bu)可以(yi)去(qu)其(qi)它地方訪問(wen)(wen),此(ci)區域(yu)被(bei)稱為(wei)(wei)“沙盒(he)”。在這種安(an)全(quan)機制下,每個應(ying)用(yong)(yong)(yong)程序都有自己的(de)(de)(de)“沙盒(he)”,且不(bu)能(neng)翻過自己的(de)(de)(de)圍墻去(qu)訪問(wen)(wen)別的(de)(de)(de)“沙盒(he)”。如(ru)果一(yi)個應(ying)用(yong)(yong)(y�����ong)要訪問(wen)(wen)到(dao)其(qi)他應(ying)用(yong)(yong)(yong)的(de)(de)(de)內容,必須要獲取(qu)管理員許可才行,比如(ru)地理位置、相冊、通訊錄、話(hua)筒(tong)等。按照蘋果的(de)(de)(de)系(xi)統哲學,只有把各(ge)個App孤立起來才能(neng)營造良好的(de)(de)(de)用(yong)(yong)(yong)戶體驗和安(an)全(quan)性。
������ 在蘋(pin)果(guo)推出(chu)這(zhe)一安全(quan)機制之初,曾經有不少開(kai)(kai)發者(zhe)(zhe)對此(ci)表示了強烈(lie)的(de)不滿。開(kai)(kai)發者(zhe)(zhe)們(men)認為,“沙(sha)盒”的(de)存在,讓開(kai)(kai)發者(zhe)(zhe)失去了一些(xie)調用(yong)系(xi)統進(jin)程的(de)權(quan)限,使得(de)許(xu)多(duo)優(you)秀(xiu)應(ying)用(yong)的(de)功能不能得(de)到有效的(de)執行,用(yong)戶體(ti)驗變得(de)糟糕,甚至(zhi)一些������(xie)開(kai)(kai)發者(zhe)(zhe)因此(ci)推出(chu)了蘋(pin)果(guo)陣(zhen)營(ying)。不過從實際效果(guo)看,這(zhe)一政策(ce)確實顯著加(jia)大(da)了惡(e)意程序入(ru)侵系(xi)統的(de)難度(du)。
盡管(guan)“沙(sha)盒”機制(zhi)是一種較為(wei)嚴密的(de)(de)(de)保護(hu),但是就在2015中國互(hu)聯網安全(quan)大(da)會上(shang),國內首個iOS越獄團隊盤古的(de)(de)(de)首席科學(x�����ue)家王鐵磊就現場講解了利用(yong)iOS系統漏洞,在非(fei)越獄的(de)(de)(de)前提下可(ke)繞開蘋果的(de)(de)(de)“沙(sha)盒”保護(hu)獲(huo)得用(yong)戶部������(bu)分信息的(de)(de)(de)案例。
在演示當中(zhong),王鐵磊展示了(le)如(ru)(ru)何利(li)(li)用(yong)(yong)一個App在“沙(sha)(sha)盒(he)”的防范之下,盜取(qu)了(le)用(yong)(yong)戶(hu)的桌(zhuo)面背(bei)景,讀取(qu)了(le)用(yong)(yong)戶(hu)手(shou)(shou)(shou)機(ji)拍(pai)攝的照片(pian),并讓(rang)手(shou)(shou)(shou)機(ji)藍屏重啟(qi)。“有(you)(you)人覺(jue)得盜取(qu)了(le)桌(zhuo)面背(bei)景和手(shou)(shou)(shou)機(ji)照片(pian)無所謂,沒(mei)什么安(an)全威(wei)脅(xie),前提是你(ni)沒(mei)有(you)(you)用(yong)(yong)手(shou)(shou)(shou)機(ji)拍(pai)過你(ni)的身份證或者是信用(y������ong)(yong)卡。”王鐵磊說,而(er)控(kong)制手(shou)(shou)(shou)機(ji)藍屏重啟(qi)就更加危險了(le),“說明運行(xing)在沙(sha)(sha)盒(he)的App有(you)(you)能力直(zhi)接和內核做交(jiao)互,和內核做交(jiao)流過程中(zhong),如(ru)(ru)果有(you)(you)非常好的漏洞可(ke)以被利(li)(li)用(yong)(yong),那就可(ke)以直(zhi)接獲(huo)(huo)取(qu)iOS內核執行(xing)代碼權限,完(wan)全獲(huo)(huo)得你(ni)手(shou)(shou)(shou)機(ji)的控(kong)制權。”王鐵磊表示,如(ru)(ru)果完(wan)全信賴(lai)iOS“沙(sha)(sha)盒(he)”無異于自(zi)廢武功(gong)。
上架審核難發現威脅
蘋(pin)果(guo)更加廣為(wei)人(ren)知的(de)(de)安全手段是每一款應用在(zai)AppStore上(shang)架(jia)前都(do�����u)要通(tong)(tong)過(guo)的(de)(de)審核(he),無(wu)法(fa)通(tong)(tong)過(guo)審核(he)的(de)(de)應用是無(wu)法(fa)上(shang)架(jia)的(de)(de)。不過(guo),這次XcodeGhost事件中,數量眾多的(de)(de)染毒(du)應用都(dou)順(shun)利通(tong)(tong)過(guo)了蘋(pin)果(guo)的(de)(de)審核(he),并沒有(you)被發(fa)現存在(zai)問題。
盤古團隊創始人韓爭(zheng)光介(jie)紹,蘋(pin)(pin)果(guo)的(de)(de)(de)審(shen)(shen)(shen)(shen)核(he)有(you)兩種——手動審(shen)(shen)(shen)(shen)核(he)和自(zi)(zi)(zi)動審(shen)(shen)(shen)(shen)核(he),其中手動審(shen)(shen������)(shen)(shen)核(he)很簡單,就(jiu)是打開應(ying)用(yong)(yong)(yong)(yong)試用(yong)(yong)(yong)(yong),很難發現其中潛伏的(de)(de)(de)惡意(yi)代(dai)碼(ma);而自(zi)(zi)(zi)動審(shen)(shen)(shen)(shen)核(he)則(ze)是看該應(ying)用(yong)(yong)(yong)(yong)是否調(diao)用(yong)(yong)(yong)(yong)了蘋(pin)(pin)果(guo)不允許使用(yong)(yong)(yong)(yong)的(de)(de)(de)函數。此次的(de)(de)(de)XcodeGhost被植入的(de)(de)(de)代(dai)碼(ma),所(suo)執行的(de)(de)(de)都是一些看似(si)正常的(de)(de)(de)指令,并(bing)沒有(you)被蘋(pin)(pin)果(guo)自(zi)(zi)(zi)動審(shen)(shen)(shen)(shen)核(he)識別為越權的(de)(de)(de)行為,因此也無法(fa)被審(shen)(shen)(shen)(shen)核(he)發現。“例如被內置代(dai)碼(ma)所(suo)搜集的(de)(de)(de)用(yong)(yong)(yong)(yong)戶(hu)信(xin)息,這些信(xin)息正常的(de)(de)(de)應(ying)用(yong)(yong)(yong)(yong)如微(wei)信(xin)也會進行收集,只是微(wei)信(xin)會上(shang)傳到(dao)自(zi)(zi)(zi)己的(de)(de)(de)服(fu)務器,并(bing)且不會加以惡意(yi)利(li)用(yong)(yong)(yong)(yong),而木馬(ma)則(ze)上(shang)傳到(dao)另外的(de)(de)(de)服(fu)務器,還可以用(yong)(yong)(yong)(yong)到(dao)非法(fa)的(de)(de)(de)用(yong)(yong)(yong)(yong)途(tu)上(shang)去。”
韓爭光稱,這(zhe)就使得這(��������zhe)種木(mu)馬無法被蘋果自動(dong)審(shen)核(he)發現。
另(ling)外,即便是(shi)(shi)一(yi)些(xie)非(fei)正常的(de)(de)(de)調(diao)用(yong)(yong)(yong)行(xing)為(wei),也是(shi)(shi)可以用(yong)(yong)(yong)這(zhe)種方(fang)式(shi)通(to�����ng)過蘋果審核(he)的(de)(de)(de)。韓(han)爭光透露,如(ru)將一(yi)段函數進行(xing)分解調(diao)用(yong)(yong)(yong),或者在遠程服務器上設置開關(guan),審核(he)時關(guan)掉非(fei������)法程序,而通(tong)過審核(he)后再(zai)打開開關(guan),都可以實(shi)現這(zhe)一(yi)目的(de)(de)(de)。“總而言之(zhi),蘋果iOS的(de)(de)(de)安全防(fang)護(hu)在所有(you)手機操(cao)作(zuo)系(xi)統中是(shi)(shi)最(zui)嚴密(mi)的(de)(de)(de),但(dan)也并非(fei)沒有(you)辦法繞過去(qu)。”
蘋果自大心態(tai)是潛在危(wei)險(xian)
在XcodeGhost事件之后,外(wai)界(jie)對(dui)于蘋(pin)果(guo)安(an)全(quan)(quan)性(xing)質疑和(he)批(pi)評的(de)聲(sheng)音也(ye)多了(le)(le)(le)起來,不(bu)過韓爭光表示,蘋(pin)果(guo)的(de)iOS還是(shi)目前安(an)全(quan)(quan)性(xing)最高的(de)操作系(xi)統,蘋(pin)果(guo)自身對��������(dui)于安(an)全(quan)(quan)問題的(de)重視程度也(ye)并不(bu)低,只(zhi)是(shi)這一次的(de)事件確實太難提前加以預防了(le)(le)(le),“在這件事上(shang),普通用戶其實提前什么也(ye)做不(bu)了(le)(le)(le),蘋(pin)果(guo)和(he)第三方的(de)安(an)全(quan)(quan)企業,在事件大規模爆發前,也(ye)基本上(shang)是(shi)無能為力的(de)。”
也有安(an)全(quan)行業業內人士認為(wei),�����蘋果(guo)的(de)(de)問題出在了(le)過于(yu)封(feng)閉上,拒絕向(xiang)第三方(fang)(fang)安(an)全(quan)企業開(kai)放(fang)(fang)安(an)全(quan)能力(li),只相信自(zi)己的(de)(de)力(li)量(liang),而安(an)全(quan)企業由于(yu)更加(jia)(jia)專業,在安(an)全(quan)防(fang)(fang)護上可能會比蘋果(guo)自(zi)己做得更好(hao)。對(dui)此,韓爭光認為(wei),蘋果(guo)要想其他安(an)全(quan)企業開(kai)放(fang)(fang)安(an)全(quan)能力(li),就(jiu)必(bi)須降(jian�����g)低“沙(sha)(sha)盒(he)(he)”的(de)(de)防(fang)(fang)范等級,這(zhe)在蘋果(guo)看來無(wu)疑(yi)是更加(jia)(jia)不安(an)全(quan)的(de)(de),從(cong)實際角度講也很難說。如果(guo)蘋果(guo)降(jiang)低對(dui)“沙(sha)(sha)盒(he)(he)”的(de)(de)限制,讓(rang)第三方(fang)(fang)來進行防(fang)(fang)護,其效(xiao)果(guo)究竟(jing)是否會比蘋果(guo)自(zi)己用更封(feng)閉的(de)(de)方(fang)(fang)式來守護安(an)全(quan)更加(jia)(jia)有效(xiao)。
不過,360涅槃安(an)(an)全團(tuan)隊負責(ze)人高(gao)雪峰則認為(wei),如果蘋(pin)果能夠(gou)(gou)放開(kai)心態,不是那么自信(xin)(xin)自己的(de)(de)安(an)(an)全水平,和安(an)(an)全企(qi)業進(jin)行(xing)更緊密(mi)的(de)(de)合作,還是能夠(gou)(gou)提(ti)升其安(an)(an)全程度的(de)(de)。“就(jiu)拿這一次的(de)(de)事件來說(shuo),我們(men)6月份的(de)(de)時(shi)候就(jiu)已(yi)經(jing)將上(shang)(shang)傳數據(ju)的(de)(de)網址(zhi)進(jin)行(xing)了安(an)(an)全標記(ji),如果蘋(pin)果能夠(gou)(gou)更早(zao)得到這一信(xin)(xin)息(xi),也會(hui)更早(zao)地(di)讓(rang)這一安(an)(an)全事件被發現。只是由于(yu)蘋(pin)果習(xi)慣于(yu)高(gao)高(gao)在上(sh���ang)(shang),不愿意(yi)和其他企(qi)業進(jin)行(xing)平等合作,導(dao)致這些信(xin)(xin)息(xi)無法共享。”
韓爭光也(ye)認為,蘋(pin)果(guo)確實(shi)應該(gai)加(jia)以改進(jin)(jin)的(de)(de)是(shi)可(ke)以更(geng)加(jia)開放和(he)積極的(de)(de)心(xin)態去與漏(lou)洞(dong)(dong)發現(xian)(xian)者(zhe)進(jin)(jin)行(xing)溝通。他(ta)������表示,微軟(ruan)之(zhi)前對于尋找其漏(lou)洞(dong)(dong)者(zhe)是(shi)持封殺的(de)(de)態度,之(zhi)后作出了轉變(bian),建(jian)立(li)起安(an)(an)(an)全(quan)社區,和(he)系統漏(lou)洞(dong)(dong)發現(xian)(xian)者(zhe)進(jin)(jin)行(xing)交流,甚至對一(yi)些漏(lou)洞(dong)(dong)攻擊方式的(de)(de)發現(xian)(xian)者(zhe)進(jin)(jin)行(xing)獎勵。獎金雖(sui)然不(bu)是(shi)很高(gao)(gao),但是(shi)可(ke)以調動(dong)起人們的(de)(de)熱情,幫助微軟(ruan)一(yi)起增強其系統的(de)(de)安(an)(an)(an)全(quan)性。“蘋(pin)果(guo)在(zai)這方面就不(bu)積極,如果(guo)能更(geng)加(jia)主動(dong),相信(xin)能推動(dong)其安(an)(an)(an)全(quan)水平更(geng)高(gao)(gao)的(de)(de)進(j�����in)(jin)步。”
背景
智能手機已成黑客終極目(mu)標
事實上����,在安(an)全行(xing)業專(zhuan)家看來(lai),不管是(shi)蘋果還是(shi)安(an)卓,智(zhi)能手機的(de)存在,就增加(jia)了各種�����個人(ren)信息泄(xie)露(lu)的(de)可能性(xing)。
在(zai)上個月(yue)底召開的2015中國互聯(lian)(lian)網安(an)全大會上,以色列手(shou)機(ji)安(an)全企業Kaymera的CEO、移(yi)動安(an)全頂(ding)尖(jian)專家(jia)AviRosen就告誡(jie)人們(men)(men),智能手(shou)機(ji)已(yi)經成(cheng)為“黑(hei)客(ke)”們(men)(men)終極的情(qing)報收集工具。“如果‘黑(hei)’進某(mou)個人的手(shou)機(ji),就可(ke)以了解(jie)到(dao)他的語音通(tong)信(xin)、文字通(tong)信(xin)或者電(dian)(dian)郵等其他任(ren)何通(tong)信(xin)方式,還可(ke)以獲得他在(zai)網上的賬戶信(xin)息”。AviRosen稱(cheng),利用一個人的電(dian)(dian)話(hu������a)號(hao)碼、電(dian)(dian)郵地址、最近的通(tong)話(hua)記錄、社(she)(she)交網絡(luo)、社(she)(she)交網絡(luo)當(dang)中的朋友,“黑(hei)客(ke)”可(ke)以繪制這個手(shou)機(ji)中所(suo)有聯(lian)(lian)系(xi)人的社(she)(she)會聯(lian)(lian)系(xi)圖,可(ke)以攻擊跟這個人有密切接觸的人。
另外,AviRosen還表示,智(zhi)能手機(ji)(ji)也是非常強大(da)的(de)監測工具,每(mei)個智(zhi)能手機(ji)(ji)都�������有麥克風,可以(yi)(yi)被遠(yuan)程(cheng)控制(zhi)變成(cheng)竊聽(ting)器(qi);有攝像頭(tou),可以(yi)(yi)被遠(yuan)程(cheng)控制(zhi)變成(cheng)偷窺鏡;還有全球定位(wei)系(xi)統以(yi)(yi)及無線(xian)網絡,可以(yi)(yi)被人(ren)實時(shi)鎖定所(suo)(suo)在(zai)位(wei)置(zhi)。實際上,AviRosen所(suo)(suo)介紹的(de)這(zhe)些(xie),正是香港(gang)系(xi)列電影(ying)《竊聽(ting)風云》中所(suo)(suo)展現的(de)。
