作者:王铁磊(盘古团队核心成员、上海犇众信息技术有限公司首席科学家)
苹果iOS设备在移动市场(尤其是高端市场)中占据巨大份额。正因如此,针对iOS的安全研究一直以来都备受关注。
一方面,苹果显然从传统PC环境下杂乱不堪的安全生态环境发展历史中汲取了大量经验教训,在iOS安全设计上做足功夫,短时间内将iOS设备打造成一个非常安全的平台。为此,iOS采用了诸多严格的安全机制,比如可信启动链、代码签名、沙盒执行环境、权限隔离和数据加密。在版本控制上,iOS采用更为严格的机制:设备不能降级安装低版本的iOS操作系统。该策略使得iOS设备一旦升级后就只能停留在当前或者最新版本,有效避免了操作系统版本碎片化问题,减少了已公开漏洞的影响范围。此外,苹果严格掌控应用市场,杜绝向第三方应用开放高级数据访问权限,限制了iOS恶意应用的传播和能力。另一方面,由于针对iOS系统安全威胁总数远远低于针对Android系统的安全威胁,这导致在普通用户群体中渐渐蔓生“iOS平台绝对安全”的惯性思维。
然而绝对安全是不存在的。尽管苹果的诸多努力,各种针对iOS的攻击研究不断涌现。首先,针对iOS的越狱研究一直不断,各种越狱工具组合利用各种iOS安全漏洞实现对iOS限制的突破。以往越狱工具的实现细节大多已经公开,读者可以参考工业界安全峰会的相关议题[1,2,3]。对于iOS应用市场而言,[4]中工作已经探讨过,苹果的官方审计根本不可能杜绝恶意应用。XCodeGhost事件更凸显了苹果官方审计的乏力。虽然苹果官方一直坚持认为iOS严格的沙盒规则可以限制恶意应用的行为能力,各种沙盒绕过漏洞、沙盒内可触发的内核漏洞[8]一旦被恶意应用利用,将完全突破iOS沙盒的控制。[5]中工作讨论了针对恶意应用大规模感染iOS设备的可能性,其中部分攻击案例已经相继在真实攻击中发现[9,10]。针对iOS的数据安全,以iMessage为例,[6,7]中工作足以证明苹果在协议设计和数据保护上还有不足。
iOS防护工作的主动权在苹果手里,迄今鲜有针对官方市场的第三方审计工作[11,12],这与如火如荼的安卓应用审计工作形成了鲜明对比。而针对iOS应用的攻击防护策略[13,14]也没有得倒实际应用。对苹果而言,封闭的市场和设备管控有助于安全,但也成了第三方正向安全研究人员的一道屏障。
作者简介:
王铁磊,主要研究方向为软件安全、自动化漏洞挖掘与利用、移动设备安全,2011年于北京大学获博士学位,毕业论文获北京大学优秀博士论文奖、中国计算机学会(CCF)优秀博士论文奖,在四大顶级系统安全会议发表论文多篇,是中国大陆首个在IEEES&P、NDSS、TISSEC等顶级会议和期刊上以第一作者身份发表论文的科研人员,毕业后在美国GeorgiaTech从事研究工作,连续多年在BlackHatUSA、CanSecWest、RUXCon等工业界顶级安全峰会演讲,现为盘古团队核心成员、上海犇众信息技术有限公司首席科学家。
参考文献
[1].Swipingthroughmodernsecurityfeatures,@evad3rs,HITB,AMS2013.
[2].TheUserlandExploitsofPangu8.TeamPangu,CanSecWest2015.https://cansecwest.com/slides/2015/CanSecWest2015_Final.pdf
[3].HackingfromiOS8toiOS9.TeamPangu,POC2015.http://blog.pangu.io/poc2015-ruxcon2015/
[4].JekylloniOS:WhenBenignAppsBecomeEvil.TieleiWang,KangjieLu,LongLu,SimonChung,andWenkeLee.The22ndUSENIXSecuritySymposium(SECURITY),2013.
[5].OntheFeasibilityofLarge-ScaleInfectionsofiOSDevices.TieleiWang,YeongjinJang,YizhengChen,Pak-HoChung,BillyLau,andWenkeLee.The23rdUSENIXSecuritySymposium(Security),SanDiego,CA,2014.
[6].DancingontheLipoftheVolcano:ChosenCiphertextAttacksonAppleiMessage.ChristinaGarman,MatthewGreen,GabrielKaptchuk,IanMiers,MichaelRushanan.
https://isi.jhu.edu/~mgreen/imessage.pdf
[7].iMessagePrivacy,@pod2g,HITB,KualaLumpur,Oct.2013.http://blog.quarkslab.com/static/resources/2013-10-17_imessage-privacy/slides/iMessage_privacy.pdf
[8].iOS9.2/9.2.1沙盒内可触发漏洞分析.http://blog.pangu.io/race_condition_bug_92/
[9].AceDeceiver:thefirstiOStrojanexploitingAppleDRMdesignflawstoinfectanyiOSdevice.http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/
[10].WireLurkerforWindows.http://researchcenter.paloaltonetworks.com/2014/11/wirelurker-windows/
[11].PiOS:DetectingPrivacyLeaksiniOSApplications.ManuelEgele,ChristopherKruegel,EnginKirda,GiovanniVigna.NDSSSymposium2011.
[12].ComparingMobilePrivacyProtectionthroughCross-PlatformApplications.JinHan,QiangYan,DebinGao,JianyingZhou,andRobertH.Deng.NDSSSymposium2013.
[13].MoCFI:AFrameworktoMitigateControl-FlowAttacksonSmartphones.LucasDavi,AlexandraDmitrienko,ManuelEgele,ThomasFischer,ThorstenHolz,RalfHund,StefanNürnbergerandAhmad-RezaSadeghi.NDSSSymposium2012.
[14].Control-flowrestrictor:Compiler-basedCFIforiOS.JannikPewnyandThorstenHolz.Proceedingsofthe29thAnnualComputerSecurityApplicationsConference2013.