您的位置:台灣網  >  經貿  >  IT  > 正文

XcodeGhost折射蘋果安全隱憂 保護機制仍有漏洞

2015-10-12 09:59 來源:京華時報 字號:       轉發 列印

  爆發在上個月的XcodeGhost蘋果安全事件已經從普通人關注的熱點中退去,但對於從事安全行業的人來説,這一事件的影響其實才剛剛開始。多位手機安全業內人士對記者表示,它不僅為蘋果敲響了警鐘,也讓安全行業開始意識到一種新的安全威脅方式的出現。在XcodeGhost背後,其實折射的是蘋果在自身系統安全上的隱憂。

  輕描淡寫的蘋果和如臨大敵的安全行業

  9月中旬,多家安全企業都曝光了一起名為XcodeGhost的安全事件,病毒製造者通過感染蘋果應用的開發工具Xcode,讓AppStore中的正版應用帶上了會上傳資訊的惡意程式。據估算,受到影響的用戶數量會超過一億。

  “我用過微信支付,要不要換銀行卡密碼?!”這可能是XcodeGhost事件之後,對手機安全比較了解的人被身邊朋友問起最多的話題。很多一向認為自己的手機足夠安全的iPhone用戶,突然發現自己手機上的資料也可能“赤裸裸”地亮在“駭客”的眼前時,其緊張程度還是要大於不斷被各種病毒消息鍛鍊得見怪不怪的安卓手機用戶。

  多數普通iPhone用戶最想知道的,還是XcodeGhost事件帶來的危害到底有多大,可是在這個問題上,蘋果官方和安全行業之間説法迥然不同,似乎描述的並不是同一件事,這也讓很多的用戶感到迷惑和擔憂。

  “這是AppStore自2008年上線以來遭受的規模最大的攻擊,涉及用戶過億,甚至可能涉及竊取銀行賬戶資訊,如果最後被證實,在金額方面肯定能破世界紀錄。”這是一位安全行業從業者在其微信公眾號上對XcodeGhost事件下的結論,聽起來是不是聳人聽聞?也有安全工程師在其微博上表示:“不要再問我什麼密碼需要修改了,能改的都改過來就對了,綁定的銀行卡也全部取消,這不是玩笑!”

  可是反觀蘋果,在其官方聲明中的表述是這樣的:“我們目前沒有任何資訊表明這些惡意軟體與任何惡意事件相關,也沒有資訊表明這些軟體被使用在傳播任何個人身份資訊的用途上。我們目前沒有看到任何客戶個人身份資訊受到影響,而且代碼無法通過用戶身份請求來獲取iCloud或其他服務的密碼。”言下之意,事情是有的,但安全威脅是不用擔心的。

  在受到影響的應用數量上,蘋果只在其官網上公佈了25個知名的應用,並表示“除受影響的前25個App外,受影響的用戶數量已顯著減少。”可是在事件爆發的前幾天,國內一些安全團隊就不斷刷新受影響的應用數量,他們表示,保守估計,受到影響的蘋果應用數量起碼在數千個以上。從幾千到25,這中間的不同確實天差地別。

  沙盒機制保護仍有漏洞

  事實上,蘋果之所以能有底氣向用戶保證,此次感染了XcodeGhost病毒的應用只能提供一些基本資訊,不會洩露用戶的核心敏感資訊,一個重要的原因是蘋果所採用的“沙盒”安全機制。一些接受記者採訪的應用開發者和安全從業者也表示,蘋果的“沙盒”讓用戶遭受安全風險的可能性大大降低。

  所謂“沙盒”,是蘋果公司針對應用推出的一種安全機制,應用程式只能在為該程式創建的文件系統中讀取文件,不可以去其他地方訪問,此區域被稱為“沙盒”。在這種安全機制下,每個應用程式都有自己的“沙盒”,且不能翻過自己的圍墻去訪問別的“沙盒”。如果一個應用要訪問到其他應用的內容,必須要獲取管理員許可才行,比如地理位置、相冊、通訊錄、話筒等。按照蘋果的系統哲學,只有把各個App孤立起來才能營造良好的用戶體驗和安全性。

  在蘋果推出這一安全機制之初,曾經有不少開發者對此表示了強烈的不滿。開發者們認為,“沙盒”的存在,讓開發者失去了一些調用系統進程的許可權,使得許多優秀應用的功能不能得到有效的執行,用戶體驗變得糟糕,甚至一些開發者因此推出了蘋果陣營。不過從實際效果看,這一政策確實顯著加大了惡意程式入侵系統的難度。

  儘管“沙盒”機制是一種較為嚴密的保護,但是就在2015中國網際網路安全大會上,國內首個iOS越獄團隊盤古的首席科學家王鐵磊就現場講解了利用iOS系統漏洞,在非越獄的前提下可繞開蘋果的“沙盒”保護獲得用戶部分資訊的案例。

  在演示當中,王鐵磊展示了如何利用一個App在“沙盒”的防範之下,盜取了用戶的桌面背景,讀取了用戶手機拍攝的照片,並讓手機藍屏重啟。“有人覺得盜取了桌面背景和手機照片無所謂,沒什麼安全威脅,前提是你沒有用手機拍過你的身份證或者是信用卡。”王鐵磊説,而控制手機藍屏重啟就更加危險了,“説明運作在沙盒的App有能力直接和內核做交互,和內核做交流過程中,如果有非常好的漏洞可以被利用,那就可以直接獲取iOS內核執行代碼許可權,完全獲得你手機的控制權。”王鐵磊表示,如果完全信賴iOS“沙盒”無異於自廢武功。

[責任編輯: 李振]

視 頻
  1. 浙江慣偷鈔票點煙被抓 稱“窮得只剩錢”

    浙江慣偷鈔票點煙被抓

      近日,浙江義烏一名男子在網上不斷炫富,還用百元大鈔點煙...

  2. 江宜樺重申徹查島內油品市場

    江宜樺重申徹查島內油品市場

    關注臺灣食品油事件

圖 片
    服務專區

    投資流程辦事指南往來手續聯繫我們Q&A

    關於我們 | 本網動態 | 轉載申請 | 投稿郵箱 | 聯繫我們 | 版權申明 | 法律顧問
    京ICP證130248號 京公網安備110102003391
    網路傳播視聽節目許可證0107219號
    台灣網版權所有