爆發(fā)在上個(gè)月的XcodeGhost蘋果安全事件已經(jīng)從普通人關(guān)注的熱點(diǎn)中退去,但對(duì)於從事安全行業(yè)的人來(lái)説,這一事件的影響其實(shí)才剛剛開始。多位手機(jī)安全業(yè)內(nèi)人士對(duì)記者表示,它不僅為蘋果敲響了警鐘,也讓安全行業(yè)開始意識(shí)到一種新的安全威脅方式的出現(xiàn)。在XcodeGhost背後,其實(shí)折射的是蘋果在自身系統(tǒng)安全上的隱憂。

　　輕描淡寫的蘋果和如臨大敵的安全行業(yè)

　　9月中旬,多家安全企業(yè)都曝光了一起名為XcodeGhost的安全事件,病毒製造者通過(guò)感染蘋果應(yīng)用的開發(fā)工具Xcode,讓AppStore中的正版應(yīng)用帶上了會(huì)上傳資訊的惡意程式。據(jù)估算,受到影響的用戶數(shù)量會(huì)超過(guò)一億。

　　“我用過(guò)微信支付,要不要換銀行卡密碼?!”這可能是XcodeGhost事件之後,對(duì)手機(jī)安全比較了解的人被身邊朋友問(wèn)起最多的話題。很多一向認(rèn)為自己的手機(jī)足夠安全的iPhone用戶,突然發(fā)現(xiàn)自己手機(jī)上的資料也可能“赤裸裸”地亮在“駭客”的眼前時(shí),其緊張程度還是要大於不斷被各種病毒消息鍛鍊得見怪不怪的安卓手機(jī)用戶。

　　多數(shù)普通iPhone用戶最想知道的,還是XcodeGhost事件帶來(lái)的危害到底有多大,可是在這個(gè)問(wèn)題上,蘋果官方和安全行業(yè)之間説法迥然不同,似乎描述的並不是同一件事,這也讓很多的用戶感到迷惑和擔(dān)憂。

　　“這是AppStore自2008年上線以來(lái)遭受的規(guī)模最大的攻擊,涉及用戶過(guò)億,甚至可能涉及竊取銀行賬戶資訊,如果最後被證實(shí),在金額方面肯定能破世界紀(jì)錄。”這是一位安全行業(yè)從業(yè)者在其微信公眾號(hào)上對(duì)XcodeGhost事件下的結(jié)論,聽起來(lái)是不是聳人聽聞?也有安全工程師在其微博上表示:“不要再問(wèn)我什麼密碼需要修改了,能改的都改過(guò)來(lái)就對(duì)了,綁定的銀行卡也全部取消,這不是玩笑!”

　　可是反觀蘋果,在其官方聲明中的表述是這樣的:“我們目前沒(méi)有任何資訊表明這些惡意軟體與任何惡意事件相關(guān),也沒(méi)有資訊表明這些軟體被使用在傳播任何個(gè)人身份資訊的用途上。我們目前沒(méi)有看到任何客戶個(gè)人身份資訊受到影響,而且代碼無(wú)法通過(guò)用戶身份請(qǐng)求來(lái)獲取iCloud或其他服務(wù)的密碼。”言下之意,事情是有的,但安全威脅是不用擔(dān)心的。

　　在受到影響的應(yīng)用數(shù)量上,蘋果只在其官網(wǎng)上公佈了25個(gè)知名的應(yīng)用,並表示“除受影響的前25個(gè)App外,受影響的用戶數(shù)量已顯著減少。”可是在事件爆發(fā)的前幾天,國(guó)內(nèi)一些安全團(tuán)隊(duì)就不斷刷新受影響的應(yīng)用數(shù)量,他們表示,保守估計(jì),受到影響的蘋果應(yīng)用數(shù)量起碼在數(shù)千個(gè)以上。從幾千到25,這中間的不同確實(shí)天差地別。

　　沙盒機(jī)制保護(hù)仍有漏洞

　　事實(shí)上,蘋果之所以能有底氣向用戶保證,此次感染了XcodeGhost病毒的應(yīng)用只能提供一些基本資訊,不會(huì)洩露用戶的核心敏感資訊,一個(gè)重要的原因是蘋果所採(cǎi)用的“沙盒”安全機(jī)制。一些接受記者採(cǎi)訪的應(yīng)用開發(fā)者和安全從業(yè)者也表示,蘋果的“沙盒”讓用戶遭受安全風(fēng)險(xiǎn)的可能性大大降低。

　　所謂“沙盒”,是蘋果公司針對(duì)應(yīng)用推出的一種安全機(jī)制,應(yīng)用程式只能在為該程式創(chuàng)建的文件系統(tǒng)中讀取文件,不可以去其他地方訪問(wèn),此區(qū)域被稱為“沙盒”。在這種安全機(jī)制下,每個(gè)應(yīng)用程式都有自己的“沙盒”,且不能翻過(guò)自己的圍墻去訪問(wèn)別的“沙盒”。如果一個(gè)應(yīng)用要訪問(wèn)到其他應(yīng)用的內(nèi)容,必須要獲取管理員許可才行,比如地理位置、相冊(cè)、通訊錄、話筒等。按照蘋果的系統(tǒng)哲學(xué),只有把各個(gè)App孤立起來(lái)才能營(yíng)造良好的用戶體驗(yàn)和安全性。

　　在蘋果推出這一安全機(jī)制之初,曾經(jīng)有不少開發(fā)者對(duì)此表示了強(qiáng)烈的不滿。開發(fā)者們認(rèn)為,“沙盒”的存在,讓開發(fā)者失去了一些調(diào)用系統(tǒng)進(jìn)程的許可權(quán),使得許多優(yōu)秀應(yīng)用的功能不能得到有效的執(zhí)行,用戶體驗(yàn)變得糟糕,甚至一些開發(fā)者因此推出了蘋果陣營(yíng)。不過(guò)從實(shí)際效果看,這一政策確實(shí)顯著加大了惡意程式入侵系統(tǒng)的難度。

　　儘管“沙盒”機(jī)制是一種較為嚴(yán)密的保護(hù),但是就在2015中國(guó)網(wǎng)際網(wǎng)路安全大會(huì)上,國(guó)內(nèi)首個(gè)iOS越獄團(tuán)隊(duì)盤古的首席科學(xué)家王鐵磊就現(xiàn)場(chǎng)講解了利用iOS系統(tǒng)漏洞,在非越獄的前提下可繞開蘋果的“沙盒”保護(hù)獲得用戶部分資訊的案例。

　　在演示當(dāng)中,王鐵磊展示了如何利用一個(gè)App在“沙盒”的防範(fàn)之下,盜取了用戶的桌面背景,讀取了用戶手機(jī)拍攝的照片,並讓手機(jī)藍(lán)屏重啟。“有人覺得盜取了桌面背景和手機(jī)照片無(wú)所謂,沒(méi)什麼安全威脅,前提是你沒(méi)有用手機(jī)拍過(guò)你的身份證或者是信用卡。”王鐵磊説,而控制手機(jī)藍(lán)屏重啟就更加危險(xiǎn)了,“説明運(yùn)作在沙盒的App有能力直接和內(nèi)核做交互,和內(nèi)核做交流過(guò)程中,如果有非常好的漏洞可以被利用,那就可以直接獲取iOS內(nèi)核執(zhí)行代碼許可權(quán),完全獲得你手機(jī)的控制權(quán)。”王鐵磊表示,如果完全信賴iOS“沙盒”無(wú)異於自廢武功。