編者按：最近，關(guān)于蘋果系統(tǒng)出現(xiàn)嚴(yán)重漏洞的新聞受到關(guān)注。具體新聞事件可參照此前雷鋒網(wǎng)的新聞：堪比iCloud 艷照門，蘋果系統(tǒng)再曝嚴(yán)重漏洞。雷鋒網(wǎng)邀請(qǐng)了相關(guān)安全領(lǐng)域的專家進(jìn)行了分析。啟明星辰積極防御實(shí)驗(yàn)室、西雅圖0xid團(tuán)隊(duì)、安言咨詢對(duì)整個(gè)事情進(jìn)行了跟蹤和分析。這里就來說說他們分析的情況。

針對(duì)此次蘋果系統(tǒng)出現(xiàn)嚴(yán)重漏洞，黑客繞過沙箱， 竊取數(shù)千種應(yīng)用程序的數(shù)據(jù)。原因并非那么簡單。

根據(jù)目前已經(jīng)掌握的資料，本次漏洞為unauthorized cross- app resource access (XARA) ，“非授權(quán)跨應(yīng)用資源訪問攻擊”，即：攻擊者可以通過偽造APP，欺騙用戶使用，從而竊取用戶的密碼和其他應(yīng)用內(nèi)的敏感信息。對(duì)于Mac OS，則還存在進(jìn)一步修改用戶密鑰鏈和劫持網(wǎng)絡(luò)通訊的可能。

我們?yōu)槭裁葱枰鐟?yīng)用資源訪問?

大家知道，蘋果的操作系統(tǒng)啟用了沙盒機(jī)制。

所謂的沙箱/沙盒/Sandbox其實(shí)是一種安全機(jī)制，指得是應(yīng)用程序運(yùn)行在一個(gè)獨(dú)立且封閉的環(huán)境，不能夠訪問其他應(yīng)用程序或者系統(tǒng)的數(shù)據(jù)（內(nèi)存、磁盤、硬件等）。沙箱可以有效地保護(hù)應(yīng)用程序不被其他惡意程序竊取或者篡改敏感數(shù)據(jù)，從而保障用戶的安全。

現(xiàn)代操作系統(tǒng)，特別是手機(jī)操作系統(tǒng)，無論是蘋果還是谷歌還是微軟，都提供了類似的安全機(jī)制。

沙盒機(jī)制，應(yīng)用程序運(yùn)行在不同的內(nèi)存空間，使用不同的數(shù)據(jù)存儲(chǔ)區(qū)域，相互之間完全隔離，這雖然是蘋果經(jīng)常被人詬病的一個(gè)特性，但確實(shí)從很大程度上保證了用戶的安全。

而本次出問題的并非是沙盒的安全機(jī)制，而是在沙盒安全機(jī)制之外。是為了數(shù)據(jù)共享而開出的一個(gè)口子。舉例來說：兩個(gè)房間之間用混凝土墻隔斷，小偷則通過走廊成功的去了另外一個(gè)房間，實(shí)際上出問題的是走廊里缺少門禁系統(tǒng)和攝像頭，而并非混凝土墻被攻破了。在本次事件中，混凝土墻就是蘋果的沙箱并沒有出問題，而應(yīng)用間數(shù)據(jù)共享則是連接兩個(gè)房間的走廊。

所以更加準(zhǔn)確的說法應(yīng)該是蘋果的應(yīng)用間數(shù)據(jù)共享缺少合適的訪問控制，可以被攻擊者利用來進(jìn)行釣魚欺騙和非授權(quán)私密數(shù)據(jù)訪問。

但是我們常常需要從某個(gè)應(yīng)用去訪問其他應(yīng)用，或者在應(yīng)用間進(jìn)行數(shù)據(jù)交換，例如從新浪微博客戶端分享某個(gè)微博到微信朋友圈，或者從微信聊天跳轉(zhuǎn)到瀏覽器訪問某個(gè)網(wǎng)頁。像這樣：

蘋果設(shè)計(jì)了跨應(yīng)用資源訪問來完成這個(gè)功能，應(yīng)用和應(yīng)用間可以通過類似URL共享、進(jìn)程間通訊等等方式來進(jìn)行數(shù)據(jù)共享和相互調(diào)用。比如當(dāng)我們從新浪微博分享文章到微信的時(shí)候，新浪微博會(huì)把相關(guān)文章通過某種數(shù)據(jù)共享機(jī)制傳送給微信客戶端：

跨應(yīng)用資源訪問出了什么問題？

很顯然蘋果在跨應(yīng)用資源訪問上并沒有做好相互的授權(quán)檢查和訪問控制，新安裝的應(yīng)用可以覆蓋/篡改跨應(yīng)用資源訪問交換列表，偽裝成其他應(yīng)用，讀取原應(yīng)用的敏感數(shù)據(jù)，或者欺騙用戶輸入密碼。

這個(gè)問題的影響面到底有多大？

目前來看，這個(gè)問題還不會(huì)造成大面積的安全問題，因?yàn)樗睦眠€受到多個(gè)條件的約束。

這些條件包括以下這些：

1、第一道防線：攻擊者要能把某個(gè)偽造的APP上傳到蘋果的應(yīng)用商店。我們知道蘋果對(duì)應(yīng)用有比較嚴(yán)格的審核，這樣的偽造應(yīng)用有很大概率被蘋果攔截下來。當(dāng)然攻擊者也可以使用企業(yè)證書去給應(yīng)用簽名，但這樣成本過高，而且一旦被發(fā)現(xiàn)會(huì)被吊銷企業(yè)證書并列入黑名單。

2、用戶需要主動(dòng)下載該應(yīng)用。（惡意應(yīng)用因?yàn)闆]有什么訪問量，很難被用戶看到，一旦訪問量高了，很容易被蘋果發(fā)現(xiàn)并封殺）

3、當(dāng)攻擊者劫持某個(gè)應(yīng)用時(shí)，會(huì)跳轉(zhuǎn)到偽造的APP，此時(shí)惡意的APP可以訪問原APP授權(quán)的數(shù)據(jù)，比如：本地文件等等，但只有用戶在該偽造APP的界面輸入密碼才會(huì)導(dǎo)致密碼失竊。

4、本漏洞對(duì)Mac OS（蘋果電腦）的影響要遠(yuǎn)比iOS（蘋果手機(jī)）更大，目前看來，蘋果手機(jī)的問題主要是應(yīng)用間的url（地址）劫持和釣魚欺詐，其他危害比較大的后果，包括：密鑰鏈的竊取、網(wǎng)絡(luò)連接的劫持等都只對(duì)Mac OS有效，暫時(shí)還沒有影響到蘋果手機(jī)。

普通蘋果用戶應(yīng)該注意什么？

1、盡可能不要去下載偏門的應(yīng)用（個(gè)人或小公司開發(fā)、下載數(shù)很低的應(yīng)用），因?yàn)檫@種情況下，更有可能是某個(gè)偽裝的APP應(yīng)用；

2、盡可能不要使用跨應(yīng)用數(shù)據(jù)交換（例如從微信跳轉(zhuǎn)到瀏覽器，可以選擇復(fù)制鏈接，然后自己打開瀏覽器粘貼到地址欄）。

3、盡可能不要在APP中保留太私密的數(shù)據(jù)，盡可能使用具有類似閱后即焚功能的APP

4、在使用跨應(yīng)用交換時(shí)，盡可能不要在跳轉(zhuǎn)的應(yīng)用中輸入你的任何密碼

安卓和Winodws Phone也有類似的問題嗎？

目前尚未發(fā)現(xiàn)Windows Phone有類似情況，對(duì)安卓來說，用戶在進(jìn)行跨應(yīng)用數(shù)據(jù)共享的時(shí)候是能看到所有可選的應(yīng)用列表的，并不排除攻擊者可以通過欺騙等方式引誘用戶選擇錯(cuò)誤的應(yīng)用進(jìn)行數(shù)據(jù)共享。所以安卓用戶也需要小心。

額外的思考

蘋果的iOS和Mac OS一向以封閉安全而著稱，但近些年來，隨著相關(guān)研究的增多，一些安全漏洞陸續(xù)被曝光，從iCloud數(shù)據(jù)失竊、到360投資的麥芽地制造病毒，再到本次的跨應(yīng)用數(shù)據(jù)交換攻擊，這些事件的發(fā)生說明iOS/Mac OS已經(jīng)不再對(duì)信息安全問題免疫，蘋果用戶需要改變過去麻痹大意的心態(tài)，提高警覺，蘋果公司也應(yīng)該更加重視信息安全問題，引入第三方專業(yè)的信息安全團(tuán)隊(duì)協(xié)助蘋果提高系統(tǒng)的安全性。

受限于目前所掌握的信息，啟明星辰團(tuán)隊(duì)還將繼續(xù)對(duì)本次事件進(jìn)行了進(jìn)一步的分析和跟蹤，后續(xù)會(huì)給出更具體的細(xì)節(jié)和更準(zhǔn)確的判斷。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。