XcodeGhost折射蘋果安全隱憂 自大心態是潛在危險

　　爆發在上個月的XcodeGhost蘋果安全事件已經從普通人關注的熱點中退去，但對於從事安全行業的人來說，這一事件的影響其實才剛剛開始。多位手機安全業內人士對記者表示，它不僅為蘋果敲響了警鐘，也讓安全行業開始意識到一種新的安全威脅方式的出現。在XcodeGhost背后，其實折射的是蘋果在自身系統安全上的隱憂。

　　□緣起

　　輕描淡寫的蘋果和如臨大敵的安全行業

　　9月中旬，多家安全企業都曝光了一起名為XcodeGhost的安全事件，病毒制造者通過感染蘋果應用的開發工具Xcode，讓AppStore中的正版應用帶上了會上傳信息的惡意程序。據估算，受到影響的用戶數量會超過一億。

　　“我用過微信支付，要不要換銀行卡密碼？！”這可能是XcodeGhost事件之后，對手機安全比較了解的人被身邊朋友問起最多的話題。很多一向認為自己的手機足夠安全的iPhone用戶，突然發現自己手機上的資料也可能“赤裸裸”地亮在“黑客”的眼前時，其緊張程度還是要大於不斷被各種病毒消息鍛煉得見怪不怪的安卓手機用戶。

　　多數普通iPhone用戶最想知道的，還是XcodeGhost事件帶來的危害到底有多大，可是在這個問題上，蘋果官方和安全行業之間說法迥然不同，似乎描述的並不是同一件事，這也讓很多的用戶感到迷惑和擔憂。

　　“這是AppStore自2008年上線以來遭受的規模最大的攻擊，涉及用戶過億，甚至可能涉及竊取銀行賬戶信息，如果最后被証實，在金額方面肯定能破世界紀錄。”這是一位安全行業從業者在其微信公眾號上對XcodeGhost事件下的結論，聽起來是不是聳人聽聞？也有安全工程師在其微博上表示：“不要再問我什麼密碼需要修改了，能改的都改過來就對了，綁定的銀行卡也全部取消，這不是玩笑！”

　　可是反觀蘋果，在其官方聲明中的表述是這樣的：“我們目前沒有任何信息表明這些惡意軟件與任何惡意事件相關，也沒有信息表明這些軟件被使用在傳播任何個人身份信息的用途上。我們目前沒有看到任何客戶個人身份信息受到影響，而且代碼無法通過用戶身份請求來獲取iCloud或其他服務的密碼。”言下之意，事情是有的，但安全威脅是不用擔心的。

　　在受到影響的應用數量上，蘋果隻在其官網上公布了25個知名的應用，並表示“除受影響的前25個App外，受影響的用戶數量已顯著減少。”可是在事件爆發的前幾天，國內一些安全團隊就不斷刷新受影響的應用數量，他們表示，保守估計，受到影響的蘋果應用數量起碼在數千個以上。從幾千到25，這中間的不同確實天差地別。

　　□隱憂

　　沙盒機制保護仍有漏洞

　　事實上，蘋果之所以能有底氣向用戶保証，此次感染了XcodeGhost病毒的應用隻能提供一些基本信息，不會泄露用戶的核心敏感信息，一個重要的原因是蘋果所採用的“沙盒”安全機制。一些接受記者採訪的應用開發者和安全從業者也表示，蘋果的“沙盒”讓用戶遭受安全風險的可能性大大降低。

　　所謂“沙盒”，是蘋果公司針對應用推出的一種安全機制，應用程序隻能在為該程序創建的文件系統中讀取文件，不可以去其它地方訪問，此區域被稱為“沙盒”。在這種安全機制下，每個應用程序都有自己的“沙盒”，且不能翻過自己的圍牆去訪問別的“沙盒”。如果一個應用要訪問到其他應用的內容，必須要獲取管理員許可才行，比如地理位置、相冊、通訊錄、話筒等。按照蘋果的系統哲學，隻有把各個App孤立起來才能營造良好的用戶體驗和安全性。

　　在蘋果推出這一安全機制之初，曾經有不少開發者對此表示了強烈的不滿。開發者們認為，“沙盒”的存在，讓開發者失去了一些調用系統進程的權限，使得許多優秀應用的功能不能得到有效的執行，用戶體驗變得糟糕，甚至一些開發者因此推出了蘋果陣營。不過從實際效果看，這一政策確實顯著加大了惡意程序入侵系統的難度。

　　盡管“沙盒”機制是一種較為嚴密的保護，但是就在2015中國互聯網安全大會上，國內首個iOS越獄團隊盤古的首席科學家王鐵磊就現場講解了利用iOS系統漏洞，在非越獄的前提下可繞開蘋果的“沙盒”保護獲得用戶部分信息的案例。

　　在演示當中，王鐵磊展示了如何利用一個App在“沙盒”的防范之下，盜取了用戶的桌面背景，讀取了用戶手機拍攝的照片，並讓手機藍屏重啟。“有人覺得盜取了桌面背景和手機照片無所謂，沒什麼安全威脅，前提是你沒有用手機拍過你的身份証或者是信用卡。”王鐵磊說，而控制手機藍屏重啟就更加危險了，“說明運行在沙盒的App有能力直接和內核做交互，和內核做交流過程中，如果有非常好的漏洞可以被利用，那就可以直接獲取iOS內核執行代碼權限，完全獲得你手機的控制權。”王鐵磊表示，如果完全信賴iOS“沙盒”無異於自廢武功。

　　上架審核難發現威脅

　　蘋果更加廣為人知的安全手段是每一款應用在AppStore上架前都要通過的審核，無法通過審核的應用是無法上架的。不過，這次XcodeGhost事件中，數量眾多的染毒應用都順利通過了蘋果的審核，並沒有被發現存在問題。

　　盤古團隊創始人韓爭光介紹，蘋果的審核有兩種——手動審核和自動審核，其中手動審核很簡單，就是打開應用試用，很難發現其中潛伏的惡意代碼﹔而自動審核則是看該應用是否調用了蘋果不允許使用的函數。此次的XcodeGhost被植入的代碼，所執行的都是一些看似正常的指令，並沒有被蘋果自動審核識別為越權的行為，因此也無法被審核發現。“例如被內置代碼所搜集的用戶信息，這些信息正常的應用如微信也會進行收集，只是微信會上傳到自己的服務器，並且不會加以惡意利用，而木馬則上傳到另外的服務器，還可以用到非法的用途上去。”

　　韓爭光稱，這就使得這種木馬無法被蘋果自動審核發現。

　　另外，即便是一些非正常的調用行為，也是可以用這種方式通過蘋果審核的。韓爭光透露，如將一段函數進行分解調用，或者在遠程服務器上設置開關，審核時關掉非法程序，而通過審核后再打開開關，都可以實現這一目的。“總而言之，蘋果iOS的安全防護在所有手機操作系統中是最嚴密的，但也並非沒有辦法繞過去。”

　　蘋果自大心態是潛在危險

　　在XcodeGhost事件之后，外界對於蘋果安全性質疑和批評的聲音也多了起來，不過韓爭光表示，蘋果的iOS還是目前安全性最高的操作系統，蘋果自身對於安全問題的重視程度也並不低，只是這一次的事件確實太難提前加以預防了，“在這件事上，普通用戶其實提前什麼也做不了，蘋果和第三方的安全企業，在事件大規模爆發前，也基本上是無能為力的。”

　　也有安全行業業內人士認為，蘋果的問題出在了過於封閉上，拒絕向第三方安全企業開放安全能力，隻相信自己的力量，而安全企業由於更加專業，在安全防護上可能會比蘋果自己做得更好。對此，韓爭光認為，蘋果要想其他安全企業開放安全能力，就必須降低“沙盒”的防范等級，這在蘋果看來無疑是更加不安全的，從實際角度講也很難說。如果蘋果降低對“沙盒”的限制，讓第三方來進行防護，其效果究竟是否會比蘋果自己用更封閉的方式來守護安全更加有效。

　　不過，360涅槃安全團隊負責人高雪峰則認為，如果蘋果能夠放開心態，不是那麼自信自己的安全水平，和安全企業進行更緊密的合作，還是能夠提升其安全程度的。“就拿這一次的事件來說，我們6月份的時候就已經將上傳數據的網址進行了安全標記，如果蘋果能夠更早得到這一信息，也會更早地讓這一安全事件被發現。只是由於蘋果習慣於高高在上，不願意和其他企業進行平等合作，導致這些信息無法共享。”

　　韓爭光也認為，蘋果確實應該加以改進的是可以更加開放和積極的心態去與漏洞發現者進行溝通。他表示，微軟之前對於尋找其漏洞者是持封殺的態度，之后作出了轉變，建立起安全社區，和系統漏洞發現者進行交流，甚至對一些漏洞攻擊方式的發現者進行獎勵。獎金雖然不是很高，但是可以調動起人們的熱情，幫助微軟一起增強其系統的安全性。“蘋果在這方面就不積極，如果能更加主動，相信能推動其安全水平更高的進步。”

　　□背景

　　智能手機已成黑客終極目標

　　事實上，在安全行業專家看來，不管是蘋果還是安卓，智能手機的存在，就增加了各種個人信息泄露的可能性。

　　在上個月底召開的2015中國互聯網安全大會上，以色列手機安全企業Kaymera的CEO、移動安全頂尖專家AviRosen就告誡人們，智能手機已經成為“黑客”們終極的情報收集工具。“如果‘黑’進某個人的手機，就可以了解到他的語音通信、文字通信或者電郵等其他任何通信方式，還可以獲得他在網上的賬戶信息”。AviRosen稱，利用一個人的電話號碼、電郵地址、最近的通話記錄、社交網絡、社交網絡當中的朋友，“黑客”可以繪制這個手機中所有聯系人的社會聯系圖，可以攻擊跟這個人有密切接觸的人。

　　另外，AviRosen還表示，智能手機也是非常強大的監測工具，每個智能手機都有麥克風，可以被遠程控制變成竊聽器﹔有攝像頭，可以被遠程控制變成偷窺鏡﹔還有全球定位系統以及無線網絡，可以被人實時鎖定所在位置。實際上，AviRosen所介紹的這些，正是香港系列電影《竊聽風雲》中所展現的。（記者古曉宇）