6 月 18 日蘋果系統曝出嚴重漏洞會對用戶造成什麼影響？

01-08

剛看到的：據國外媒體報道，由於蘋果打造的應用能夠互相聯繫，研究人員可以竊取大量機密信息。例如iCloud、電子郵箱以及銀行的密碼，甚至印象筆記(Evernote)應用中的令牌。
簡單來說，研究人員製造一個惡意軟體，並將其以普通應用的形式偽裝起來，上傳到蘋果的應用商店App Store。一旦用戶下載這款應用，其手機或者電腦中現有應用的機密信息就會被惡意軟體盜走。
該研究團隊負責人邢璐禕表示，通過這個惡意軟體，他們可以在未經授權的情況下進入其他應用的敏感數據，例如iCloud的密碼和圖片、郵箱應用以及存儲在Google Chrome中的網路密碼。
這個漏洞是個什麼級別的漏洞？對普通用戶是否會造成嚴重影響？

謝@紐太普邀：

之前新聞媒體大規模報道了：蘋果系統出現嚴重漏洞，黑客繞過沙箱，竊取數千種應用程序的數據。

啟明星辰積極防禦實驗室、西雅圖0xid團隊、安言諮詢對整個事情進行了跟蹤和分析。

根據目前已經掌握的資料，本次漏洞主要是unauthorized cross-app resource access (XARA) ，「非授權跨應用資源訪問攻擊」，即：攻擊者可以通過偽造APP，欺騙用戶使用，從而竊取用戶的密碼和其他應用內的敏感信息。對於Mac OS，則還存在進一步修改用戶密鑰鏈和劫持網路通訊的可能。

我們為什麼需要跨應用資源訪問?

大家知道，蘋果的操作系統啟用了所謂的沙箱（Sandbox）機制，即應用程序運行在不同的內存空間，使用不同的數據存儲區域，相互之間完全隔離，這雖然是蘋果經常被人詬病的一個特性（很不方便），但確實從很大程度上保證了用戶的安全。

但是我們常常需要從某個應用去訪問其他應用，或者在應用間進行數據交換，例如從新浪微博客戶端分享某個微博到微信朋友圈，或者從微信聊天跳轉到瀏覽器訪問某個網頁。

蘋果設計了跨應用資源訪問來完成這個功能，應用和應用間可以通過類似URL共享、進程間通訊等等方式來進行數據共享和相互調用。比如當我們從新浪微博分享文章到微信的時候，新浪微博會把相關文章通過某種數據共享機制傳送給微信客戶端。

沙箱是什麼？

所謂的沙箱/沙盒/Sandbox其實是一種安全機制，指得是應用程序運行在一個獨立且封閉的環境，不能夠訪問其他應用程序或者系統的數據（內存、磁碟、硬體等），現代操作系統，特別是手機操作系統，無論是蘋果還是谷歌還是微軟，都提供了類似的安全機制。沙箱可以有效地保護應用程序不被其他惡意程序竊取或者篡改敏感數據，從而較大程度的保障用戶的安全。

跨應用資源訪問出了什麼問題？

很顯然蘋果在跨應用資源訪問上並沒有做好相互的授權檢查和訪問控制，新安裝的應用可以覆蓋/篡改跨應用資源訪問交換列表，偽裝成其他應用，讀取原應用的敏感數據，或者欺騙用戶輸入密碼。

媒體報道蘋果沙盒被攻破準確嗎？

其實我們認為報道是有所偏差的，本次出問題的並非是沙盒的安全機制，而是在沙盒安全機制之外，為了數據共享而開出的一個口子，舉例來說：兩個房間之間用混凝土牆隔斷，小偷則通過走廊成功的去了另外一個房間，實際上出問題的是走廊里缺少門禁系統和攝像頭，而並非混凝土牆被攻破了。在本次事件中，混凝土牆就是蘋果的沙箱並沒有出問題，而應用間數據共享則是連接兩個房間的走廊，所以更加準確的說法應該是蘋果的應用間數據共享缺少合適的訪問控制，可以被攻擊者利用來進行釣魚欺騙和非授權私密數據訪問。

這個問題的影響面到底有多大？

目前來看，這個問題還不會造成大面積的安全問題，因為它的利用還受到多個條件的約束：

1、第一道防線：攻擊者要能把某個偽造的APP上傳到蘋果的應用商店。我們知道蘋果對應用有比較嚴格的審核，這樣的偽造應用有很大概率被蘋果攔截下來。當然攻擊者也可以使用企業證書去給應用簽名，但這樣成本過高，而且一旦被發現會被吊銷企業證書並列入黑名單。

2、第二道防線：用戶需要主動下載該應用。（惡意應用因為沒有什麼訪問量，很難被用戶看到，一旦訪問量高了，很容易被蘋果發現並封殺）

3、當攻擊者劫持某個應用時，會跳轉到偽造的APP，此時惡意的APP可以訪問原APP授權的數據，比如：通訊錄、本地文件等等，但只有用戶在該偽造APP的界面輸入密碼才會導緻密碼失竊。

4、本漏洞對Mac OS（蘋果電腦）的影響要遠比iOS（蘋果手機）更大，目前看來，蘋果手機的問題主要是應用間的url（地址）劫持和釣魚欺詐，其他危害比較大的後果，包括：密鑰鏈的竊取、網路連接的劫持等都只對Mac OS有效，暫時還沒有影響到蘋果手機。

使用蘋果手機的普通用戶應該注意什麼？

1、儘可能不要去下載偏門的應用（個人或小公司開發、下載數很低的應用）

2、儘可能不要使用跨應用數據交換（例如從微信跳轉到瀏覽器，可以選擇複製鏈接，然後自己打開瀏覽器粘貼到地址欄）

3、儘可能不要在APP中保留太私密的數據，儘可能使用具有類似閱後即焚功能的APP

4、在使用跨應用交換時，儘可能不要在跳轉後的應用中輸入你的任何密碼

安卓和Winodws Phone也有類似的問題嗎？

目前尚未發現Windows Phone有類似情況，對安卓來說，用戶在進行跨應用數據共享的時候是能看到所有可選應用列表的，並不排除攻擊者可以通過欺騙等方式引誘用戶選擇錯誤的應用進行數據共享。所以安卓用戶也需要小心。

額外的思考

蘋果的iOS和Mac OS一向以封閉安全而著稱，但近些年來，隨著相關研究的增多，一些安全漏洞陸續被曝光，從iCloud數據失竊、到360投資的麥芽地製造病毒，再到本次的跨應用數據交換攻擊，這些事件的發生說明iOS/Mac OS已經不再對信息安全問題免疫，蘋果用戶需要改變過去麻痹大意的心態，提高警覺，蘋果公司也應該更加重視信息安全問題，引入第三方專業的信息安全團隊協助蘋果提高系統的安全性。

受限於目前所掌握的信息可能不完整或不準確，初步結論可能有所偏差，啟明星辰積極防禦實驗室、西雅圖0xid團隊、安言諮詢還將繼續對本次事件進行了進一步的分析和跟蹤，後續會給出更具體的細節和更準確的判斷。

精神可嘉，但有一個最關鍵的問題，惡意app如何通過蘋果嚴格的審查機製成功上架到App Store？

利用url schema偽造app截取信息，這個bug在很久國內iOS圈就討論過了，並且發到烏雲上了，不要下載奇怪的偏門應用就好了，估計apple也不好修，需要求所有APP更新一次

表示沒什麼影響，該用還是用。iOS再不安全還是有人用。WindowsPhone再安全也沒人用...