iOS 安全雜談

主要研究方向為軟件安全、自動化漏洞挖掘與利用、移動設備安全，2011年于北京大學獲博士學位，畢業論文獲北京大學優秀博士論文獎、中國計算機學會(CCF)優秀博士論文獎，在四大頂級系統安全會議發表論文多篇，是中國大陸首個在IEEES&P、NDSS、TISSEC等頂級會議和期刊上以第一作者身份發表論文的科研人員，畢業後在美國GeorgiaTech從事研究工作，連續多年在BlackHatUSA、CanSecWest、RUXCon等工業界頂級安全峰會演講，現為盤古團隊核心成員、上海犇衆信息技術有限公司首席科學家。

文/王鐵磊

蘋果iOS設備在移動市場（尤其是高端市場）中占據巨大份額。正因如此，針對iOS的安全研究一直以來都備受關注。

一方面，蘋果顯然從傳統PC環境下雜亂不堪的安全生态環境發展曆史中汲取了大量經驗教訓，在iOS的安全設計上做足工夫，短時間内将iOS設備打造成一個非常安全的平台。為此，iOS采用了諸多嚴格的安全機制，比如可信啟動鍊、代碼簽名、沙盒執行環境、權限隔離和數據加密。在版本控制上，iOS采用更為嚴格的機制：設備不能降級安裝低版本的iOS操作系統。該策略使得iOS設備一旦升級後就隻能停留在當前或者最新版本，有效避免了操作系統版本碎片化問題，減少了已公開漏洞的影響範圍。此外，蘋果嚴格掌控應用市場，杜絕向第三方應用開放高級數據訪問權限，限制了iOS惡意應用的傳播和能力。另一方面，由于針對iOS系統安全威脅總數遠遠低于針對Android系統的安全威脅，這導緻在普通用戶群體中漸漸蔓生“iOS平台絕對安全”的慣性思維。

然而，絕對安全是不存在的。盡管蘋果的諸多努力，各種針對iOS的攻擊研究不斷湧現。首先，針對iOS的越獄研究一直不斷，各種越獄工具組合利用各種iOS安全漏洞實現對iOS限制的突破。以往越獄工具的實現細節大多已經公開，讀者可以參考工業界安全峰會的相關議題[1,2,3]。對于iOS應用市場而言，在[4]中工作已經探讨過，蘋果的官方審計根本不可能杜絕惡意應用。XCodeGhost事件更凸顯了蘋果官方審計的乏力。雖然蘋果官方一直堅持認為iOS嚴格的沙盒規則可以限制惡意應用的行為能力，各種沙盒繞過漏洞、沙盒内可觸發的内核漏洞[8]一旦被惡意應用利用，将完全突破iOS沙盒的控制。[5]中工作讨論了針對惡意應用大規模感染iOS設備的可能性，其中部分攻擊案例已經相繼在真實攻擊中發現[9，10]。針對iOS的數據安全，以iMessage為例，[5，6]中工作足以證明蘋果在協議設計和數據保護上還有不足。

iOS防護工作的主動權在蘋果手裡，迄今鮮有針對官方市場的第三方審計工作[11,12]，這與如火如荼的安卓應用審計工作形成了鮮明對比。而針對iOS應用的攻擊防護策略[13,14]也沒有得到實際應用。對蘋果而言，封閉的市場和設備管控有助于安全，但也成了第三方正面安全研究人員的一道屏障。

參考鍊接：

[1]Swipingthroughmodernsecurityfeatures,@evad3rs,HITB,AMS2013.

[2]TheUserlandExploitsofPangu8.TeamPangu,CanSecWest2015.https://cansecwest/slides/2015/CanSecWest2015_Final.pdf

[3]HackingfromiOS8toiOS9.TeamPangu,POC2015.http://blog.pangu.io/poc2015-ruxcon2015/

[4]JekylloniOS:WhenBenignAppsBecomeEvil.TieleiWang,KangjieLu,LongLu,SimonChung,andWenkeLee.The22ndUSENIXSecuritySymposium(SECURITY),2013.

[5]OntheFeasibilityofLarge-ScaleInfectionsofiOSDevices.TieleiWang,YeongjinJang,YizhengChen,PakHoChung,BillyLau,andWenkeLee.The23rdUSENIXSecuritySymposium(Security),SanDiego,CA,2014.

[6]DancingontheLipoftheVolcano:ChosenCiphertextAttacksonAppleiMessage.ChristinaGarman,MatthewGreen,GabrielKaptchuk,IanMiers,MichaelRushanan.

https://isi.jhu.edu/~mgreen/imessage.pdf[7]iMessagePrivacy,@pod2g,HITB,KualaLumpur,Oct.2013.http://blog.quarkslab/static/resources/2013-10-17_imessageprivacy/slides/iMessage_privacy.pdf

[8]iOS9.2/9.2.1沙盒内可觸發漏洞分析.http://blog.pangu.io/race_condition_bug_92/

[9]AceDeceiver:thefirstiOStrojanexploitingAppleDRMdesignflawstoinfectanyiOSdevice.http://researchcenter.paloaltonetworks/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drmdesign-flaws-to-infect-any-ios-device/

[10]WireLurkerforWindows.http://researchcenter.paloaltonetworks/2014/11/wirelurker-windows/

[11]PiOS:DetectingPrivacyLeaksiniOSApplications.ManuelEgele,ChristopherKruegel,EnginKirda,GiovanniVigna.NDSSSymposium2011.

[12ComparingMobilePrivacyProtectionthroughCrossPlatformApplications.JinHan,QiangYan,DebinGao,JianyingZhou,andRobertH.Deng.NDSSSymposium2013.

[13MoCFI:AFrameworktoMitigateControlFlowAttacksonSmartphones.LucasDavi,AlexandraDmitrienko,ManuelEgele,ThomasFischer,ThorstenHolz,RalfHund,StefanNürnbergerandAhmad-RezaSadeghi.NDSSSymposium2012.

[14]Control-flowrestrictor:Compiler-basedCFIforiOS.JannikPewnyandThorstenHolz.Proceedingsofthe29thAnnualComputerSecurityApplicationsConference2013.