編者按：最近，關于蘋果系統(tǒng)出現(xiàn)嚴重漏洞的新聞受到關注。具體新聞事件可參照此前雷鋒網(wǎng)的新聞：堪比iCloud 艷照門，蘋果系統(tǒng)再曝嚴重漏洞。雷鋒網(wǎng)邀請了相關安全領域的專家進行了分析。啟明星辰積極防御實驗室、西雅圖0xid團隊、安言咨詢對整個事情進行了跟蹤和分析。這里就來說說他們分析的情況。

針對此次蘋果系統(tǒng)出現(xiàn)嚴重漏洞，黑客繞過沙箱， 竊取數(shù)千種應用程序的數(shù)據(jù)。原因并非那么簡單。

根據(jù)目前已經(jīng)掌握的資料，本次漏洞為unauthorized cross- app resource access (XARA) ，“非授權跨應用資源訪問攻擊”，即：攻擊者可以通過偽造APP，欺騙用戶使用，從而竊取用戶的密碼和其他應用內(nèi)的敏感信息。對于Mac OS，則還存在進一步修改用戶密鑰鏈和劫持網(wǎng)絡通訊的可能。

我們?yōu)槭裁葱枰鐟觅Y源訪問?

大家知道，蘋果的操作系統(tǒng)啟用了沙盒機制。

所謂的沙箱/沙盒/Sandbox其實是一種安全機制，指得是應用程序運行在一個獨立且封閉的環(huán)境，不能夠訪問其他應用程序或者系統(tǒng)的數(shù)據(jù)（內(nèi)存、磁盤、硬件等）。沙箱可以有效地保護應用程序不被其他惡意程序竊取或者篡改敏感數(shù)據(jù)，從而保障用戶的安全。

現(xiàn)代操作系統(tǒng)，特別是手機操作系統(tǒng)，無論是蘋果還是谷歌還是微軟，都提供了類似的安全機制。

沙盒機制，應用程序運行在不同的內(nèi)存空間，使用不同的數(shù)據(jù)存儲區(qū)域，相互之間完全隔離，這雖然是蘋果經(jīng)常被人詬病的一個特性，但確實從很大程度上保證了用戶的安全。

而本次出問題的并非是沙盒的安全機制，而是在沙盒安全機制之外。是為了數(shù)據(jù)共享而開出的一個口子。舉例來說：兩個房間之間用混凝土墻隔斷，小偷則通過走廊成功的去了另外一個房間，實際上出問題的是走廊里缺少門禁系統(tǒng)和攝像頭，而并非混凝土墻被攻破了。在本次事件中，混凝土墻就是蘋果的沙箱并沒有出問題，而應用間數(shù)據(jù)共享則是連接兩個房間的走廊。

所以更加準確的說法應該是蘋果的應用間數(shù)據(jù)共享缺少合適的訪問控制，可以被攻擊者利用來進行釣魚欺騙和非授權私密數(shù)據(jù)訪問。

但是我們常常需要從某個應用去訪問其他應用，或者在應用間進行數(shù)據(jù)交換，例如從新浪微博客戶端分享某個微博到微信朋友圈，或者從微信聊天跳轉到瀏覽器訪問某個網(wǎng)頁。像這樣：

蘋果設計了跨應用資源訪問來完成這個功能，應用和應用間可以通過類似URL共享、進程間通訊等等方式來進行數(shù)據(jù)共享和相互調(diào)用。比如當我們從新浪微博分享文章到微信的時候，新浪微博會把相關文章通過某種數(shù)據(jù)共享機制傳送給微信客戶端：

跨應用資源訪問出了什么問題？

很顯然蘋果在跨應用資源訪問上并沒有做好相互的授權檢查和訪問控制，新安裝的應用可以覆蓋/篡改跨應用資源訪問交換列表，偽裝成其他應用，讀取原應用的敏感數(shù)據(jù)，或者欺騙用戶輸入密碼。

這個問題的影響面到底有多大？

目前來看，這個問題還不會造成大面積的安全問題，因為它的利用還受到多個條件的約束。

這些條件包括以下這些：

1、第一道防線：攻擊者要能把某個偽造的APP上傳到蘋果的應用商店。我們知道蘋果對應用有比較嚴格的審核，這樣的偽造應用有很大概率被蘋果攔截下來。當然攻擊者也可以使用企業(yè)證書去給應用簽名，但這樣成本過高，而且一旦被發(fā)現(xiàn)會被吊銷企業(yè)證書并列入黑名單。

2、用戶需要主動下載該應用。（惡意應用因為沒有什么訪問量，很難被用戶看到，一旦訪問量高了，很容易被蘋果發(fā)現(xiàn)并封殺）

3、當攻擊者劫持某個應用時，會跳轉到偽造的APP，此時惡意的APP可以訪問原APP授權的數(shù)據(jù)，比如：本地文件等等，但只有用戶在該偽造APP的界面輸入密碼才會導致密碼失竊。

4、本漏洞對Mac OS（蘋果電腦）的影響要遠比iOS（蘋果手機）更大，目前看來，蘋果手機的問題主要是應用間的url（地址）劫持和釣魚欺詐，其他危害比較大的后果，包括：密鑰鏈的竊取、網(wǎng)絡連接的劫持等都只對Mac OS有效，暫時還沒有影響到蘋果手機。

普通蘋果用戶應該注意什么？

1、盡可能不要去下載偏門的應用（個人或小公司開發(fā)、下載數(shù)很低的應用），因為這種情況下，更有可能是某個偽裝的APP應用；

2、盡可能不要使用跨應用數(shù)據(jù)交換（例如從微信跳轉到瀏覽器，可以選擇復制鏈接，然后自己打開瀏覽器粘貼到地址欄）。

3、盡可能不要在APP中保留太私密的數(shù)據(jù)，盡可能使用具有類似閱后即焚功能的APP

4、在使用跨應用交換時，盡可能不要在跳轉的應用中輸入你的任何密碼

安卓和Winodws Phone也有類似的問題嗎？

目前尚未發(fā)現(xiàn)Windows Phone有類似情況，對安卓來說，用戶在進行跨應用數(shù)據(jù)共享的時候是能看到所有可選的應用列表的，并不排除攻擊者可以通過欺騙等方式引誘用戶選擇錯誤的應用進行數(shù)據(jù)共享。所以安卓用戶也需要小心。

額外的思考

蘋果的iOS和Mac OS一向以封閉安全而著稱，但近些年來，隨著相關研究的增多，一些安全漏洞陸續(xù)被曝光，從iCloud數(shù)據(jù)失竊、到360投資的麥芽地制造病毒，再到本次的跨應用數(shù)據(jù)交換攻擊，這些事件的發(fā)生說明iOS/Mac OS已經(jīng)不再對信息安全問題免疫，蘋果用戶需要改變過去麻痹大意的心態(tài)，提高警覺，蘋果公司也應該更加重視信息安全問題，引入第三方專業(yè)的信息安全團隊協(xié)助蘋果提高系統(tǒng)的安全性。

受限于目前所掌握的信息，啟明星辰團隊還將繼續(xù)對本次事件進行了進一步的分析和跟蹤，后續(xù)會給出更具體的細節(jié)和更準確的判斷。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。