编者按:最近,关于苹果系统出现严重漏洞的新闻受到关注。具体新闻事件可参照此前雷锋网的新闻:堪比iCloud 艳照门,苹果系统再曝严重漏洞。雷锋网邀请了相关安全领域的专家进行了分析。启明星辰积极防御实验室、西雅图0xid团队、安言咨询对整个事情进行了跟踪和分析。这里就来说说他们分析的情况。
针对此次苹果系统出现严重漏洞,黑客绕过沙箱, 窃取数千种应用程序的数据。原因并非那么简单。
根据目前已经掌握的资料,本次漏洞为unauthorized cross- app resource access (XARA) ,“非授权跨应用资源访问攻击”,即:攻击者可以通过伪造APP,欺骗用户使用,从而窃取用户的密码和其他应用内的敏感信息。对于Mac OS,则还存在进一步修改用户密钥链和劫持网络通讯的可能。
我们为什么需要跨应用资源访问?
大家知道,苹果的操作系统启用了沙盒机制。
所谓的沙箱/沙盒/Sandbox其实是一种安全机制,指得是应用程序运行在一个独立且封闭的环境,不能够访问其他应用程序或者系统的数据(内存、磁盘、硬件等)。沙箱可以有效地保护应用程序不被其他恶意程序窃取或者篡改敏感数据,从而保障用户的安全。
现代操作系统,特别是手机操作系统,无论是苹果还是谷歌还是微软,都提供了类似的安全机制。
沙盒机制,应用程序运行在不同的内存空间,使用不同的数据存储区域,相互之间完全隔离,这虽然是苹果经常被人诟病的一个特性,但确实从很大程度上保证了用户的安全。
而本次出问题的并非是沙盒的安全机制,而是在沙盒安全机制之外。是为了数据共享而开出的一个口子。举例来说:两个房间之间用混凝土墙隔断,小偷则通过走廊成功的去了另外一个房间,实际上出问题的是走廊里缺少门禁系统和摄像头,而并非混凝土墙被攻破了。在本次事件中,混凝土墙就是苹果的沙箱并没有出问题,而应用间数据共享则是连接两个房间的走廊。
所以更加准确的说法应该是苹果的应用间数据共享缺少合适的访问控制,可以被攻击者利用来进行钓鱼欺骗和非授权私密数据访问。
但是我们常常需要从某个应用去访问其他应用,或者在应用间进行数据交换,例如从新浪微博客户端分享某个微博到微信朋友圈,或者从微信聊天跳转到浏览器访问某个网页。像这样:
苹果设计了跨应用资源访问来完成这个功能,应用和应用间可以通过类似URL共享、进程间通讯等等方式来进行数据共享和相互调用。比如当我们从新浪微博分享文章到微信的时候,新浪微博会把相关文章通过某种数据共享机制传送给微信客户端:
跨应用资源访问出了什么问题?
很显然苹果在跨应用资源访问上并没有做好相互的授权检查和访问控制,新安装的应用可以覆盖/篡改跨应用资源访问交换列表,伪装成其他应用,读取原应用的敏感数据,或者欺骗用户输入密码。
这个问题的影响面到底有多大?
目前来看,这个问题还不会造成大面积的安全问题,因为它的利用还受到多个条件的约束。
这些条件包括以下这些:
1、第一道防线:攻击者要能把某个伪造的APP上传到苹果的应用商店。我们知道苹果对应用有比较严格的审核,这样的伪造应用有很大概率被苹果拦截下来。当然攻击者也可以使用企业证书去给应用签名,但这样成本过高,而且一旦被发现会被吊销企业证书并列入黑名单。
2、用户需要主动下载该应用。(恶意应用因为没有什么访问量,很难被用户看到,一旦访问量高了,很容易被苹果发现并封杀)
3、当攻击者劫持某个应用时,会跳转到伪造的APP,此时恶意的APP可以访问原APP授权的数据,比如:本地文件等等,但只有用户在该伪造APP的界面输入密码才会导致密码失窃。
4、本漏洞对Mac OS(苹果电脑)的影响要远比iOS(苹果手机)更大,目前看来,苹果手机的问题主要是应用间的url(地址)劫持和钓鱼欺诈,其他危害比较大的后果,包括:密钥链的窃取、网络连接的劫持等都只对Mac OS有效,暂时还没有影响到苹果手机。
普通苹果用户应该注意什么?
1、尽可能不要去下载偏门的应用(个人或小公司开发、下载数很低的应用),因为这种情况下,更有可能是某个伪装的APP应用;
2、尽可能不要使用跨应用数据交换(例如从微信跳转到浏览器,可以选择复制链接,然后自己打开浏览器粘贴到地址栏)。
3、尽可能不要在APP中保留太私密的数据,尽可能使用具有类似阅后即焚功能的APP
4、在使用跨应用交换时,尽可能不要在跳转的应用中输入你的任何密码
安卓和Winodws Phone也有类似的问题吗?
目前尚未发现Windows Phone有类似情况,对安卓来说,用户在进行跨应用数据共享的时候是能看到所有可选的应用列表的,并不排除攻击者可以通过欺骗等方式引诱用户选择错误的应用进行数据共享。所以安卓用户也需要小心。
额外的思考
苹果的iOS和Mac OS一向以封闭安全而著称,但近些年来,随着相关研究的增多,一些安全漏洞陆续被曝光,从iCloud数据失窃、到360投资的麦芽地制造病毒,再到本次的跨应用数据交换攻击,这些事件的发生说明iOS/Mac OS已经不再对信息安全问题免疫,苹果用户需要改变过去麻痹大意的心态,提高警觉,苹果公司也应该更加重视信息安全问题,引入第三方专业的信息安全团队协助苹果提高系统的安全性。
受限于目前所掌握的信息,启明星辰团队还将继续对本次事件进行了进一步的分析和跟踪,后续会给出更具体的细节和更准确的判断。