爆發(fā)在上個月的XcodeGhost蘋果安全事件已經(jīng)從普通人關(guān)注的熱點中退去,但對於從事安全行業(yè)的人來説,這一事件的影響其實才剛剛開始。多位手機安全業(yè)內(nèi)人士對記者表示,它不僅為蘋果敲響了警鐘,也讓安全行業(yè)開始意識到一種新的安全威脅方式的出現(xiàn)��。在XcodeGhost背後,其實折射的是蘋果在自身系統(tǒng)安全上的隱憂��。
輕描淡寫的蘋果和如臨大敵的安全行業(yè)
9月中旬,多家安全企業(yè)都曝光了一起名為XcodeGhost的安全事件,病毒製造者通過感染蘋果應(yīng)用的開發(fā)工具Xcode,讓AppStore中的正版應(yīng)用帶上了會上傳資訊的惡意程式�。據(jù)估算,受到影響的用戶數(shù)量會超過一億����。
“我用過微信支付,要不要換銀行卡密碼?!”這可能是XcodeGhost事件之後,對手機安全比較了解的人被身邊朋友問起最多的話題。很多一向認為自己的手機足夠安全的iPhone用戶,突然發(fā)現(xiàn)自己手機上的資料也可能“赤裸裸”地亮在“駭客”的眼前時,其緊張程度還是要大於不斷被各種病毒消息鍛鍊得見怪不怪的安卓手機用戶��。
多數(shù)普通iPhone用戶最想知道的,還是XcodeGhost事件帶來的危害到底有多大,可是在這個問題上,蘋果官方和安全行業(yè)之間説法迥然不同,似乎描述的並不是同一件事,這也讓很多的用戶感到迷惑和擔(dān)憂�。
“這是AppStore自2008年上線以來遭受的規(guī)模最大的攻擊,涉及用戶過億,甚至可能涉及竊取銀行賬戶資訊,如果最後被證實,在金額方面肯定能破世界紀錄?�!边@是一位安全行業(yè)從業(yè)者在其微信公眾號上對XcodeGhost事件下的結(jié)論,聽起來是不是聳人聽聞?也有安全工程師在其微博上表示:“不要再問我什麼密碼需要修改了,能改的都改過來就對了,綁定的銀行卡也全部取消,這不是玩笑!”
可是反觀蘋果,在其官方聲明中的表述是這樣的:“我們目前沒有任何資訊表明這些惡意軟體與任何惡意事件相關(guān),也沒有資訊表明這些軟體被使用在傳播任何個人身份資訊的用途上��。我們目前沒有看到任何客戶個人身份資訊受到影響,而且代碼無法通過用戶身份請求來獲取iCloud或其他服務(wù)的密碼���?��!毖韵轮?事情是有的,但安全威脅是不用擔(dān)心的。
在受到影響的應(yīng)用數(shù)量上,蘋果只在其官網(wǎng)上公佈了25個知名的應(yīng)用,並表示“除受影響的前25個App外,受影響的用戶數(shù)量已顯著減少�����?����!笨墒窃谑录l(fā)的前幾天,國內(nèi)一些安全團隊就不斷刷新受影響的應(yīng)用數(shù)量,他們表示,保守估計,受到影響的蘋果應(yīng)用數(shù)量起碼在數(shù)千個以上���。從幾千到25,這中間的不同確實天差地別��。
沙盒機制保護仍有漏洞
事實上,蘋果之所以能有底氣向用戶保證,此次感染了XcodeGhost病毒的應(yīng)用只能提供一些基本資訊,不會洩露用戶的核心敏感資訊,一個重要的原因是蘋果所採用的“沙盒”安全機制��。一些接受記者採訪的應(yīng)用開發(fā)者和安全從業(yè)者也表示,蘋果的“沙盒”讓用戶遭受安全風(fēng)險的可能性大大降低�。
所謂“沙盒”,是蘋果公司針對應(yīng)用推出的一種安全機制,應(yīng)用程式只能在為該程式創(chuàng)建的文件系統(tǒng)中讀取文件,不可以去其他地方訪問,此區(qū)域被稱為“沙盒”。在這種安全機制下,每個應(yīng)用程式都有自己的“沙盒”,且不能翻過自己的圍墻去訪問別的“沙盒”����。如果一個應(yīng)用要訪問到其他應(yīng)用的內(nèi)容,必須要獲取管理員許可才行,比如地理位置、相冊�、通訊錄、話筒等����。按照蘋果的系統(tǒng)哲學(xué),只有把各個App孤立起來才能營造良好的用戶體驗和安全性。
在蘋果推出這一安全機制之初,曾經(jīng)有不少開發(fā)者對此表示了強烈的不滿���。開發(fā)者們認為,“沙盒”的存在,讓開發(fā)者失去了一些調(diào)用系統(tǒng)進程的許可權(quán),使得許多優(yōu)秀應(yīng)用的功能不能得到有效的執(zhí)行,用戶體驗變得糟糕,甚至一些開發(fā)者因此推出了蘋果陣營�。不過從實際效果看,這一政策確實顯著加大了惡意程式入侵系統(tǒng)的難度�����。
儘管“沙盒”機制是一種較為嚴密的保護,但是就在2015中國網(wǎng)際網(wǎng)路安全大會上,國內(nèi)首個iOS越獄團隊盤古的首席科學(xué)家王鐵磊就現(xiàn)場講解了利用iOS系統(tǒng)漏洞,在非越獄的前提下可繞開蘋果的“沙盒”保護獲得用戶部分資訊的案例�。
在演示當中,王鐵磊展示了如何利用一個App在“沙盒”的防範之下,盜取了用戶的桌面背景,讀取了用戶手機拍攝的照片,並讓手機藍屏重啟����?����!坝腥擞X得盜取了桌面背景和手機照片無所謂,沒什麼安全威脅,前提是你沒有用手機拍過你的身份證或者是信用卡���。”王鐵磊説,而控制手機藍屏重啟就更加危險了,“説明運作在沙盒的App有能力直接和內(nèi)核做交互,和內(nèi)核做交流過程中,如果有非常好的漏洞可以被利用,那就可以直接獲取iOS內(nèi)核執(zhí)行代碼許可權(quán),完全獲得你手機的控制權(quán)���?��!蓖蹊F磊表示,如果完全信賴iOS“沙盒”無異於自廢武功。
