爆發(fā)在上個(gè)月的XcodeGhost蘋(píng)果安全事件已經(jīng)從普通人關(guān)注的熱點(diǎn)中退去，但對(duì)于從事安全行業(yè)的人來(lái)說(shuō)，這一事件的影響其實(shí)才剛剛開(kāi)始。多位手機(jī)安全業(yè)內(nèi)人士對(duì)記者表示，它不僅為蘋(píng)果敲響了警鐘，也讓安全行業(yè)開(kāi)始意識(shí)到一種新的安全威脅方式的出現(xiàn)。在XcodeGhost背后，其實(shí)折射的是蘋(píng)果在自身系統(tǒng)安全上的隱憂(yōu)。

　　緣起

　　輕描淡寫(xiě)的蘋(píng)果和如臨大敵的安全行業(yè)

　　9月中旬，多家安全企業(yè)都曝光了一起名為XcodeGhost的安全事件，病毒制造者通過(guò)感染蘋(píng)果應(yīng)用的開(kāi)發(fā)工具Xcode，讓AppStore中的正版應(yīng)用帶上了會(huì)上傳信息的惡意程序。據(jù)估算，受到影響的用戶(hù)數(shù)量會(huì)超過(guò)一億。

　　“我用過(guò)微信支付，要不要換銀行卡密碼？！”這可能是XcodeGhost事件之后，對(duì)手機(jī)安全比較了解的人被身邊朋友問(wèn)起最多的話題。很多一向認(rèn)為自己的手機(jī)足夠安全的iPhone用戶(hù)，突然發(fā)現(xiàn)自己手機(jī)上的資料也可能“赤裸裸”地亮在“黑客”的眼前時(shí)，其緊張程度還是要大于不斷被各種病毒消息鍛煉得見(jiàn)怪不怪的安卓手機(jī)用戶(hù)。

　　多數(shù)普通iPhone用戶(hù)最想知道的，還是XcodeGhost事件帶來(lái)的危害到底有多大，可是在這個(gè)問(wèn)題上，蘋(píng)果官方和安全行業(yè)之間說(shuō)法迥然不同，似乎描述的并不是同一件事，這也讓很多的用戶(hù)感到迷惑和擔(dān)憂(yōu)。

　　“這是AppStore自2008年上線以來(lái)遭受的規(guī)模最大的攻擊，涉及用戶(hù)過(guò)億，甚至可能涉及竊取銀行賬戶(hù)信息，如果最后被證實(shí)，在金額方面肯定能破世界紀(jì)錄?！边@是一位安全行業(yè)從業(yè)者在其微信公眾號(hào)上對(duì)XcodeGhost事件下的結(jié)論，聽(tīng)起來(lái)是不是聳人聽(tīng)聞？也有安全工程師在其微博上表示：“不要再問(wèn)我什么密碼需要修改了，能改的都改過(guò)來(lái)就對(duì)了，綁定的銀行卡也全部取消，這不是玩笑！”

　　可是反觀蘋(píng)果，在其官方聲明中的表述是這樣的：“我們目前沒(méi)有任何信息表明這些惡意軟件與任何惡意事件相關(guān)，也沒(méi)有信息表明這些軟件被使用在傳播任何個(gè)人身份信息的用途上。我們目前沒(méi)有看到任何客戶(hù)個(gè)人身份信息受到影響，而且代碼無(wú)法通過(guò)用戶(hù)身份請(qǐng)求來(lái)獲取iCloud或其他服務(wù)的密碼?！毖韵轮猓虑槭怯械?，但安全威脅是不用擔(dān)心的。

　　在受到影響的應(yīng)用數(shù)量上，蘋(píng)果只在其官網(wǎng)上公布了25個(gè)知名的應(yīng)用，并表示“除受影響的前25個(gè)App外，受影響的用戶(hù)數(shù)量已顯著減少?！笨墒窃谑录l(fā)的前幾天，國(guó)內(nèi)一些安全團(tuán)隊(duì)就不斷刷新受影響的應(yīng)用數(shù)量，他們表示，保守估計(jì)，受到影響的蘋(píng)果應(yīng)用數(shù)量起碼在數(shù)千個(gè)以上。從幾千到25，這中間的不同確實(shí)天差地別。

　　隱憂(yōu)

　　沙盒機(jī)制保護(hù)仍有漏洞

　　事實(shí)上，蘋(píng)果之所以能有底氣向用戶(hù)保證，此次感染了XcodeGhost病毒的應(yīng)用只能提供一些基本信息，不會(huì)泄露用戶(hù)的核心敏感信息，一個(gè)重要的原因是蘋(píng)果所采用的“沙盒”安全機(jī)制。一些接受記者采訪的應(yīng)用開(kāi)發(fā)者和安全從業(yè)者也表示，蘋(píng)果的“沙盒”讓用戶(hù)遭受安全風(fēng)險(xiǎn)的可能性大大降低。

　　所謂“沙盒”，是蘋(píng)果公司針對(duì)應(yīng)用推出的一種安全機(jī)制，應(yīng)用程序只能在為該程序創(chuàng)建的文件系統(tǒng)中讀取文件，不可以去其它地方訪問(wèn)，此區(qū)域被稱(chēng)為“沙盒”。在這種安全機(jī)制下，每個(gè)應(yīng)用程序都有自己的“沙盒”，且不能翻過(guò)自己的圍墻去訪問(wèn)別的“沙盒”。如果一個(gè)應(yīng)用要訪問(wèn)到其他應(yīng)用的內(nèi)容，必須要獲取管理員許可才行，比如地理位置、相冊(cè)、通訊錄、話筒等。按照蘋(píng)果的系統(tǒng)哲學(xué)，只有把各個(gè)App孤立起來(lái)才能營(yíng)造良好的用戶(hù)體驗(yàn)和安全性。

　　在蘋(píng)果推出這一安全機(jī)制之初，曾經(jīng)有不少開(kāi)發(fā)者對(duì)此表示了強(qiáng)烈的不滿(mǎn)。開(kāi)發(fā)者們認(rèn)為，“沙盒”的存在，讓開(kāi)發(fā)者失去了一些調(diào)用系統(tǒng)進(jìn)程的權(quán)限，使得許多優(yōu)秀應(yīng)用的功能不能得到有效的執(zhí)行，用戶(hù)體驗(yàn)變得糟糕，甚至一些開(kāi)發(fā)者因此推出了蘋(píng)果陣營(yíng)。不過(guò)從實(shí)際效果看，這一政策確實(shí)顯著加大了惡意程序入侵系統(tǒng)的難度。

　　盡管“沙盒”機(jī)制是一種較為嚴(yán)密的保護(hù)，但是就在2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)上，國(guó)內(nèi)首個(gè)iOS越獄團(tuán)隊(duì)盤(pán)古的首席科學(xué)家王鐵磊就現(xiàn)場(chǎng)講解了利用iOS系統(tǒng)漏洞，在非越獄的前提下可繞開(kāi)蘋(píng)果的“沙盒”保護(hù)獲得用戶(hù)部分信息的案例。

　　在演示當(dāng)中，王鐵磊展示了如何利用一個(gè)App在“沙盒”的防范之下，盜取了用戶(hù)的桌面背景，讀取了用戶(hù)手機(jī)拍攝的照片，并讓手機(jī)藍(lán)屏重啟?！坝腥擞X(jué)得盜取了桌面背景和手機(jī)照片無(wú)所謂，沒(méi)什么安全威脅，前提是你沒(méi)有用手機(jī)拍過(guò)你的身份證或者是信用卡。”王鐵磊說(shuō)，而控制手機(jī)藍(lán)屏重啟就更加危險(xiǎn)了，“說(shuō)明運(yùn)行在沙盒的App有能力直接和內(nèi)核做交互，和內(nèi)核做交流過(guò)程中，如果有非常好的漏洞可以被利用，那就可以直接獲取iOS內(nèi)核執(zhí)行代碼權(quán)限，完全獲得你手機(jī)的控制權(quán)?！蓖蹊F磊表示，如果完全信賴(lài)iOS“沙盒”無(wú)異于自廢武功。

　　上架審核難發(fā)現(xiàn)威脅

　　蘋(píng)果更加廣為人知的安全手段是每一款應(yīng)用在AppStore上架前都要通過(guò)的審核，無(wú)法通過(guò)審核的應(yīng)用是無(wú)法上架的。不過(guò)，這次XcodeGhost事件中，數(shù)量眾多的染毒應(yīng)用都順利通過(guò)了蘋(píng)果的審核，并沒(méi)有被發(fā)現(xiàn)存在問(wèn)題。

　　盤(pán)古團(tuán)隊(duì)創(chuàng)始人韓爭(zhēng)光介紹，蘋(píng)果的審核有兩種——手動(dòng)審核和自動(dòng)審核，其中手動(dòng)審核很簡(jiǎn)單，就是打開(kāi)應(yīng)用試用，很難發(fā)現(xiàn)其中潛伏的惡意代碼；而自動(dòng)審核則是看該應(yīng)用是否調(diào)用了蘋(píng)果不允許使用的函數(shù)。此次的XcodeGhost被植入的代碼，所執(zhí)行的都是一些看似正常的指令，并沒(méi)有被蘋(píng)果自動(dòng)審核識(shí)別為越權(quán)的行為，因此也無(wú)法被審核發(fā)現(xiàn)?！袄绫粌?nèi)置代碼所搜集的用戶(hù)信息，這些信息正常的應(yīng)用如微信也會(huì)進(jìn)行收集，只是微信會(huì)上傳到自己的服務(wù)器，并且不會(huì)加以惡意利用，而木馬則上傳到另外的服務(wù)器，還可以用到非法的用途上去?！?/p>

　　韓爭(zhēng)光稱(chēng)，這就使得這種木馬無(wú)法被蘋(píng)果自動(dòng)審核發(fā)現(xiàn)。

　　另外，即便是一些非正常的調(diào)用行為，也是可以用這種方式通過(guò)蘋(píng)果審核的。韓爭(zhēng)光透露，如將一段函數(shù)進(jìn)行分解調(diào)用，或者在遠(yuǎn)程服務(wù)器上設(shè)置開(kāi)關(guān)，審核時(shí)關(guān)掉非法程序，而通過(guò)審核后再打開(kāi)開(kāi)關(guān)，都可以實(shí)現(xiàn)這一目的?！翱偠灾O(píng)果iOS的安全防護(hù)在所有手機(jī)操作系統(tǒng)中是最嚴(yán)密的，但也并非沒(méi)有辦法繞過(guò)去?！?/p>

　　蘋(píng)果自大心態(tài)是潛在危險(xiǎn)

　　在XcodeGhost事件之后，外界對(duì)于蘋(píng)果安全性質(zhì)疑和批評(píng)的聲音也多了起來(lái)，不過(guò)韓爭(zhēng)光表示，蘋(píng)果的iOS還是目前安全性最高的操作系統(tǒng)，蘋(píng)果自身對(duì)于安全問(wèn)題的重視程度也并不低，只是這一次的事件確實(shí)太難提前加以預(yù)防了，“在這件事上，普通用戶(hù)其實(shí)提前什么也做不了，蘋(píng)果和第三方的安全企業(yè)，在事件大規(guī)模爆發(fā)前，也基本上是無(wú)能為力的?！?/p>

　　也有安全行業(yè)業(yè)內(nèi)人士認(rèn)為，蘋(píng)果的問(wèn)題出在了過(guò)于封閉上，拒絕向第三方安全企業(yè)開(kāi)放安全能力，只相信自己的力量，而安全企業(yè)由于更加專(zhuān)業(yè)，在安全防護(hù)上可能會(huì)比蘋(píng)果自己做得更好。對(duì)此，韓爭(zhēng)光認(rèn)為，蘋(píng)果要想其他安全企業(yè)開(kāi)放安全能力，就必須降低“沙盒”的防范等級(jí)，這在蘋(píng)果看來(lái)無(wú)疑是更加不安全的，從實(shí)際角度講也很難說(shuō)。如果蘋(píng)果降低對(duì)“沙盒”的限制，讓第三方來(lái)進(jìn)行防護(hù)，其效果究竟是否會(huì)比蘋(píng)果自己用更封閉的方式來(lái)守護(hù)安全更加有效。

　　不過(guò)，360涅槃安全團(tuán)隊(duì)負(fù)責(zé)人高雪峰則認(rèn)為，如果蘋(píng)果能夠放開(kāi)心態(tài)，不是那么自信自己的安全水平，和安全企業(yè)進(jìn)行更緊密的合作，還是能夠提升其安全程度的?！熬湍眠@一次的事件來(lái)說(shuō)，我們6月份的時(shí)候就已經(jīng)將上傳數(shù)據(jù)的網(wǎng)址進(jìn)行了安全標(biāo)記，如果蘋(píng)果能夠更早得到這一信息，也會(huì)更早地讓這一安全事件被發(fā)現(xiàn)。只是由于蘋(píng)果習(xí)慣于高高在上，不愿意和其他企業(yè)進(jìn)行平等合作，導(dǎo)致這些信息無(wú)法共享?！?/p>

　　韓爭(zhēng)光也認(rèn)為，蘋(píng)果確實(shí)應(yīng)該加以改進(jìn)的是可以更加開(kāi)放和積極的心態(tài)去與漏洞發(fā)現(xiàn)者進(jìn)行溝通。他表示，微軟之前對(duì)于尋找其漏洞者是持封殺的態(tài)度，之后作出了轉(zhuǎn)變，建立起安全社區(qū)，和系統(tǒng)漏洞發(fā)現(xiàn)者進(jìn)行交流，甚至對(duì)一些漏洞攻擊方式的發(fā)現(xiàn)者進(jìn)行獎(jiǎng)勵(lì)。獎(jiǎng)金雖然不是很高，但是可以調(diào)動(dòng)起人們的熱情，幫助微軟一起增強(qiáng)其系統(tǒng)的安全性?！疤O(píng)果在這方面就不積極，如果能更加主動(dòng)，相信能推動(dòng)其安全水平更高的進(jìn)步?！?/p>

　　背景

　　智能手機(jī)已成黑客終極目標(biāo)

　　事實(shí)上，在安全行業(yè)專(zhuān)家看來(lái)，不管是蘋(píng)果還是安卓，智能手機(jī)的存在，就增加了各種個(gè)人信息泄露的可能性。

　　在上個(gè)月底召開(kāi)的2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)上，以色列手機(jī)安全企業(yè)Kaymera的CEO、移動(dòng)安全頂尖專(zhuān)家AviRosen就告誡人們，智能手機(jī)已經(jīng)成為“黑客”們終極的情報(bào)收集工具?！叭绻凇M(jìn)某個(gè)人的手機(jī)，就可以了解到他的語(yǔ)音通信、文字通信或者電郵等其他任何通信方式，還可以獲得他在網(wǎng)上的賬戶(hù)信息”。AviRosen稱(chēng)，利用一個(gè)人的電話號(hào)碼、電郵地址、最近的通話記錄、社交網(wǎng)絡(luò)、社交網(wǎng)絡(luò)當(dāng)中的朋友，“黑客”可以繪制這個(gè)手機(jī)中所有聯(lián)系人的社會(huì)聯(lián)系圖，可以攻擊跟這個(gè)人有密切接觸的人。

　　另外，AviRosen還表示，智能手機(jī)也是非常強(qiáng)大的監(jiān)測(cè)工具，每個(gè)智能手機(jī)都有麥克風(fēng)，可以被遠(yuǎn)程控制變成竊聽(tīng)器；有攝像頭，可以被遠(yuǎn)程控制變成偷窺鏡；還有全球定位系統(tǒng)以及無(wú)線網(wǎng)絡(luò)，可以被人實(shí)時(shí)鎖定所在位置。實(shí)際上，AviRosen所介紹的這些，正是香港系列電影《竊聽(tīng)風(fēng)云》中所展現(xiàn)的。