iOS安全雜談

文/王鐵磊

?

iOS安全雜談

文/王鐵磊

王鐵磊

主要研究方向為軟件安全、自動化漏洞挖掘與利用、移動設備安全，2011年于北京大學獲博士學位，畢業論文獲北京大學優秀博士論文獎、中國計算機學會（CCF）優秀博士論文獎，在四大頂級系統安全會議發表論文多篇，是中國大陸首個在IEEES&P、NDSS、TISSEC等頂級會議和期刊上以第一作者身份發表論文的科研人員，畢業后在美國GeorgiaTech從事研究工作，連續多年在BlackHatUSA、CanSecWest、RUXCon等工業界頂級安全峰會演講，現為盤古團隊核心成員、上海犇眾信息技術有限公司首席科學家。

蘋果iOS設備在移動市場（尤其是高端市場）中占據巨大份額。正因如此，針對iOS的安全研究一直以來都備受關注。

一方面，蘋果顯然從傳統PC環境下雜亂不堪的安全生態環境發展歷史中汲取了大量經驗教訓，在iOS的安全設計上做足工夫，短時間內將iOS設備打造成一個非常安全的平臺。為此，iOS采用了諸多嚴格的安全機制，比如可信啟動鏈、代碼簽名、沙盒執行環境、權限隔離和數據加密。在版本控制上，iOS采用更為嚴格的機制：設備不能降級安裝低版本的iOS操作系統。該策略使得iOS設備一旦升級后就只能停留在當前或者最新版本，有效避免了操作系統版本碎片化問題，減少了已公開漏洞的影響范圍。此外，蘋果嚴格掌控應用市場，杜絕向第三方應用開放高級數據訪問權限，限制了iOS惡意應用的傳播和能力。另一方面，由于針對iOS系統安全威脅總數遠遠低于針對Android系統的安全威脅，這導致在普通用戶群體中漸漸蔓生“iOS平臺絕對安全”的慣性思維。

然而，絕對安全是不存在的。盡管蘋果的諸多努力，各種針對iOS的攻擊研究不斷涌現。首先，針對iOS的越獄研究一直不斷，各種越獄工具組合利用各種iOS安全漏洞實現對iOS限制的突破。以往越獄工具的實現細節大多已經公開，讀者可以參考工業界安全峰會的相關議題［1，2，3］。對于iOS應用市場而言，在［4］中工作已經探討過，蘋果的官方審計根本不可能杜絕惡意應用。XCodeGhost事件更凸顯了蘋果官方審計的乏力。雖然蘋果官方一直堅持認為iOS嚴格的沙盒規則可以限制惡意應用的行為能力，各種沙盒繞過漏洞、沙盒內可觸發的內核漏洞［8］一旦被惡意應用利用，將完全突破iOS沙盒的控制。［5］中工作討論了針對惡意應用大規模感染iOS設備的可能性，其中部分攻擊案例已經相繼在真實攻擊中發現［9，10］。針對iOS的數據安全，以iMessage為例，［5，6］中工作足以證明蘋果在協議設計和數據保護上還有不足。

iOS防護工作的主動權在蘋果手里，迄今鮮有針對官方市場的第三方審計工作［11，12］，這與如火如荼的安卓應用審計工作形成了鮮明對比。而針對iOS應用的攻擊防護策略［13，14］也沒有得到實際應用。對蘋果而言，封閉的市場和設備管控有助于安全，但也成了第三方正面安全研究人員的一道屏障。

參考鏈接：

［1］Swipingthroughmodernsecurityfeatures，@ evad3rs，HITB，AMS2013.

［2］T h e U s e r l a n d E x p l o i t s o f P a n g u 8 . TeamPangu，CanSecWest2015.https：//cansecwest.com/slides/2015/ CanSecWest2015_Final.pdf

［3］HackingfromiOS8toiOS9.TeamPangu，POC2015.http：//blog. pangu.io/poc2015-ruxcon2015/

［4］JekylloniOS：WhenBenignAppsBecomeEvil.TieleiWang，Kan gjieLu，LongLu，SimonChung，andWenkeLee.The22ndUSENIXSecurity Symposium（SECURITY），2013.

［5］OntheFeasibilityofLarge-ScaleInfectionsofiOSDevices. T i e l e i W a n g，Y e o n g j i n J a n g，Y i z h e n g C h e n，P a k -HoChung，BillyLau，andWenkeLee.The23rdUSENIXSecuritySymposiu m（Security），SanDiego，CA，2014.

［6］DancingontheLipoftheVolcano：ChosenCiphertextAttacksonA ppleiMessage.ChristinaGarman，MatthewGreen，GabrielKaptchuk，Ian Miers，MichaelRushanan.

https：//isi.jhu.edu/～mgreen/imessage.pdf

［7］iMessagePrivacy，@pod2g，HITB，KualaLumpur，Oct.2013. http：//blog.quarkslab.com/static/resources/2013-10-17_imessageprivacy/slides/iMessage_privacy.pdf

［8］iOS9.2/9.2.1沙盒內可觸發漏洞分析.http：//blog.pangu.io/ race_condition_bug_92/

［9］AceDeceiver：thefirstiOStrojanexploitingAppleDRMdesign flawstoinfectanyiOSdevice.http：//researchcenter.paloaltonetworks. com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drmdesign-flaws-to-infect-any-ios-device/

［10］WireLurkerforWindows.http：//researchcenter. paloaltonetworks.com/2014/11/wirelurker-windows/

［11］PiOS：DetectingPrivacyLeaksiniOSApplications.Ma nuelEgele，ChristopherKruegel，EnginKirda，GiovanniVigna. NDSSSymposium2011.

［12］ComparingMobilePrivacyProtectionthroughCross-PlatformApplications.JinHan，QiangYan，DebinGao，JianyingZhou，and RobertH.Deng.NDSSSymposium2013.

［13］M o C F I：A F r a m e w o r k t o M i t i g a t e C o n t r o l -FlowAttacksonSmartphones.LucasDavi，AlexandraDmitrienko，Manuel Egele，ThomasFischer，ThorstenHolz，RalfHund，StefanNürnbergerand Ahmad-RezaSadeghi.NDSSSymposium2012.

［14］Control-flowrestrictor：Compiler-basedCFIforiOS. JannikPewnyandThorstenHolz.Proceedingsofthe29thAnnualComputer SecurityApplicationsConference2013.