▲圖片來(lái)源：BRITTANY HOSEA-SMALL/AFP/Getty Images

許多“果粉”對(duì)iPhone的忠實(shí)，都來(lái)自于對(duì)iOS優(yōu)質(zhì)體驗(yàn)和安全性的信任。但，這個(gè)曾被公認(rèn)為最安全的主流操作系統(tǒng)，在過(guò)去幾個(gè)月卻經(jīng)歷了一波聲譽(yù)打擊：據(jù)黑客安全大會(huì)披露，攻擊者能夠在用戶(hù)沒(méi)有任何點(diǎn)擊操作的前提下完成六次足以劫持iPhone設(shè)備的無(wú)交互攻擊。此外，還有五種iOS漏洞利用鏈現(xiàn)身惡意網(wǎng)站，攻擊者已經(jīng)借此入侵了數(shù)十臺(tái)設(shè)備。零日漏洞經(jīng)紀(jì)公司甚至抱怨稱(chēng)，由于黑客大肆通過(guò)iOS攻擊攫取市場(chǎng)，他們手中的漏洞資源已經(jīng)遭遇大幅貶值。

隨著iPhone 11的發(fā)布，許多人又開(kāi)始了新的擔(dān)憂(yōu)：蘋(píng)果公司不能再單純地對(duì)已經(jīng)曝光的個(gè)人安全漏洞加以修復(fù)，而應(yīng)該真正自查iOS當(dāng)中引發(fā)這些缺陷的更深層次問(wèn)題。有長(zhǎng)期關(guān)注iOS的安全研究人員稱(chēng)，這意味著蘋(píng)果公司首先需要著眼于iPhone中的兩大內(nèi)部要素：Safari與iMessage。

雖然兩個(gè)應(yīng)用的漏洞只會(huì)為黑客提供指向iOS設(shè)備的初步立足點(diǎn)（攻擊者必須找到其它漏洞才能更深入地滲透至目標(biāo)操作系統(tǒng)當(dāng)中），但這些表面級(jí)別的漏洞仍在最近出現(xiàn)的一系列攻擊活動(dòng)中發(fā)揮了重要作用。而蘋(píng)果公司，則拒絕對(duì)此發(fā)表任何評(píng)論。

獨(dú)立安全研究員Linus HenzeHenze在今年早些時(shí)候曾發(fā)布過(guò)一項(xiàng)名為KeySteal的MacOS漏洞。他表示，“如果大家想要入侵iPhone，Safari與iMessage就是最好的入口。”他還在與其他iOS研究人員的討論中指出，iMessage以及WebKit（這款瀏覽器引擎不僅是Safari的基礎(chǔ)，同時(shí)也是所有iOS瀏覽器的基礎(chǔ)），蘋(píng)果公司一直把對(duì)內(nèi)部代碼的信任度放在高于其他公司代碼的位置上，而這也正是問(wèn)題的真正根源。Henze解釋稱(chēng)，“相較于其他人提供的代碼，蘋(píng)果公司更信任自己的代碼。他們明顯不愿接受自己的代碼也有bug這一事實(shí)。”

>>> WebKit中的發(fā)現(xiàn)

舉例來(lái)說(shuō)，蘋(píng)果公司要求所有iOS網(wǎng)絡(luò)瀏覽器——包括Chrome、Firefox、Brave以及其它各類(lèi)方案——都必須與Safari一樣以WebKit引擎為基礎(chǔ)。Henze表示：“這基本上相當(dāng)于只允許各廠(chǎng)商為Safari開(kāi)發(fā)擁有不同界面的同內(nèi)核版本。”在他看來(lái)，蘋(píng)果之所以要求各類(lèi)瀏覽器盡皆使用WebKit，是因?yàn)闉榱丝s短處理時(shí)長(zhǎng)，運(yùn)行網(wǎng)站中JavaScript代碼時(shí)往往涉及復(fù)雜的即時(shí)編譯技術(shù)（JIT）。雖然在iOS設(shè)備上運(yùn)行的程序往往需要由蘋(píng)果或者經(jīng)過(guò)批準(zhǔn)的開(kāi)發(fā)商進(jìn)行加密簽名，但瀏覽器的JIT速度優(yōu)化則不在受審范圍之內(nèi)。

由此帶來(lái)的結(jié)果就是，蘋(píng)果堅(jiān)持只允許利用WebKit引擎處理那些不具備簽名的代碼。“他們明顯更信任自己的代碼。如果他們給Chrome開(kāi)了特殊通道，那就得為所有其他瀏覽器開(kāi)設(shè)特殊通道。”Henze指出。

根據(jù)安全研究人員們的想法，強(qiáng)制使用WebKit之所以會(huì)帶來(lái)麻煩，是因?yàn)樘O(píng)果的這套瀏覽器引擎在某些方面的安全性上不及Chrome等其他瀏覽器。安全廠(chǎng)商Ret2公司創(chuàng)始人Amy Burnett一直負(fù)責(zé)Chrome與WebKit開(kāi)發(fā)方面的培訓(xùn)，她表示，目前雖然不清楚這兩種瀏覽器哪一種更易受到攻擊，但Chrome的bug修復(fù)速度往往更快——這主要是因?yàn)楣雀韫疽恢痹谂χ鲃?dòng)尋找并消除代碼中的安全漏洞，而且廣泛采用模糊測(cè)試等自動(dòng)化技術(shù)。

此外，谷歌公司還為Chrome漏洞設(shè)立了Bug賞金計(jì)劃，用以激勵(lì)正義黑客們發(fā)現(xiàn)問(wèn)題并上報(bào)問(wèn)題。而蘋(píng)果方面除了通過(guò)WebKit給iOS引入安全隱患之外，再?zèng)]有其它任何保障性作為。Burnett指出，“大家可能會(huì)在這兩種瀏覽器當(dāng)中找到類(lèi)似的bug，但問(wèn)題在于誰(shuí)能夠搶先一步解決問(wèn)題。谷歌在這方面似乎表現(xiàn)得更好。”她還補(bǔ)充稱(chēng)，Chrome利用沙箱技術(shù)將瀏覽器與操作系統(tǒng)其余部分隔離開(kāi)來(lái)的做法，也起到了良好的效果。如我們所知，這種沙箱隔離出了名的難以繞過(guò)——門(mén)檻遠(yuǎn)高于WebKit——因此Chrome中存在的任何漏洞可能都不足以幫助攻擊者進(jìn)一步入侵操作系統(tǒng)中的其它組件。

>>> 引用風(fēng)險(xiǎn)

獨(dú)立安全研究員Luca Todesco表示，WebKit瀏覽器架構(gòu)當(dāng)中的另一個(gè)特殊元素也有可能引發(fā)潛在攻擊，這就是文檔對(duì)象模型WebCore。WebKit瀏覽器會(huì)利用WebCore進(jìn)行網(wǎng)站渲染，而WebCore要求瀏覽器開(kāi)發(fā)商追蹤會(huì)引用其它對(duì)象的數(shù)據(jù)“對(duì)象”（可能是一串文本，也可能是數(shù)據(jù)數(shù)組）。這一過(guò)程被稱(chēng)為“引用計(jì)數(shù)”，一旦發(fā)生錯(cuò)誤，某項(xiàng)引用就有可能指向這個(gè)缺失的對(duì)象。而黑客當(dāng)然能夠利用自己選定的對(duì)象填補(bǔ)這個(gè)空白，這相當(dāng)于一個(gè)間諜在會(huì)議登記表上填寫(xiě)他人姓名。

相比之下，Chrome自己的WebCore版本當(dāng)中包含了一項(xiàng)被稱(chēng)為“垃圾收集器”的安全措施，能夠消除指向缺失對(duì)象的指針。如此一來(lái)，WebCore就不會(huì)錯(cuò)誤地為這些對(duì)象保留未分配狀態(tài)并被攻擊者所利用。當(dāng)然，WebKit也使用了一套被稱(chēng)為“智能指針”的自動(dòng)引用計(jì)數(shù)系統(tǒng)，但Todesco認(rèn)為這仍不足以徹底消除隱患。他表示，“在WebCore當(dāng)中可能發(fā)生很多情況，瀏覽器開(kāi)發(fā)商必須跟蹤所有可能性，而這本身就是一項(xiàng)不可能完成的任務(wù)。”

為了“挽救”蘋(píng)果在安全方面的信譽(yù)，蘋(píng)果在過(guò)去一年多當(dāng)中已經(jīng)為iOS實(shí)施了一項(xiàng)重要的緩解措施，也就是“isoheaps”，也稱(chēng)為「隔離堆」。其作用是確保引用計(jì)數(shù)中的錯(cuò)誤無(wú)法被利用。對(duì)此，iPhone XS、XS Max以及XR的硬件漏洞得到了一定緩解。然而，Todesco與Burnett都注意到，雖然「隔離堆」機(jī)制大大提高了WebCore的安全性，但卻仍未能徹底阻斷對(duì)WebCore的攻擊，因?yàn)樵S多黑客會(huì)轉(zhuǎn)而攻擊WebKit的其它組件。Todesco表示，自2018年推出「隔離堆」機(jī)制以來(lái)，已出現(xiàn)多次對(duì)引用計(jì)數(shù)錯(cuò)誤的利用活動(dòng)。Ret2公司的Burnett也贊同稱(chēng)，“看起來(lái)問(wèn)題還是沒(méi)有真正得到解決。”

雖然存在諸多問(wèn)題，WebKit的缺陷也確實(shí)一次又一次成為iOS攻擊的切入點(diǎn)，但WebKit本身的安全性是否顯著弱于Chrome還是存在爭(zhēng)議。在Zerodium（一家銷(xiāo)售零日黑客技術(shù)的公司）公布的產(chǎn)品價(jià)格表上，明確列出了直接指向Chrome與Safari的攻擊方法。而另一家零日漏洞經(jīng)紀(jì)商Maor Shwartz則在采訪(fǎng)中明確表示，由于WebKit的安全性確實(shí)要差于Chrome，所以目前Android漏洞的最高價(jià)格已經(jīng)反超iOS。Shwartz強(qiáng)調(diào)稱(chēng)，“Chrome是目前最安全的瀏覽器，漏洞的市場(chǎng)價(jià)格已經(jīng)體現(xiàn)了這一點(diǎn)。”

>>> iMessage的問(wèn)題

iMessage中的可利用漏洞要遠(yuǎn)比WebKit更少，但這些漏洞的嚴(yán)重程度卻更高，因?yàn)楹诳屯耆梢詫⒋俗鳛槌跏继?，并在沒(méi)有用戶(hù)交互的前提下接管目標(biāo)手機(jī)。就在上個(gè)月，谷歌Zero項(xiàng)目團(tuán)隊(duì)研究員Natalie Silvanovich就展示了一系列令人稀奇的iMessage零日漏洞。事實(shí)證明，這些漏洞確實(shí)能夠?qū)崿F(xiàn)對(duì)目標(biāo)iPhone的遠(yuǎn)程零點(diǎn)擊接管。

比這些bug更令人不安的是，它們?nèi)荚醋韵嗤陌踩珕?wèn)題——即iMessage會(huì)向攻擊者公開(kāi)其“反序列化器”。該組件負(fù)責(zé)對(duì)通過(guò)iMessage發(fā)來(lái)的各類(lèi)數(shù)據(jù)進(jìn)行解包。專(zhuān)注關(guān)注蘋(píng)果產(chǎn)品的安全廠(chǎng)商Jamf公司安全研究員Patrick Wardle對(duì)這個(gè)漏洞做出了這樣的描述——這就像是盲目打開(kāi)一個(gè)裝滿(mǎn)組件的盒子，卻在沒(méi)有進(jìn)行任何檢查的情況下馬上著手組裝。Wardle表示，“我們可以把炸彈的組件放在盒子里。由于蘋(píng)果允許我們對(duì)所有對(duì)象進(jìn)行反序列化，這無(wú)疑會(huì)帶來(lái)巨大的攻擊面。”

更重要的是，iMessage在iOS當(dāng)中擁有一系列其它消息應(yīng)用所不具備的天然特權(quán)。比如，非蘋(píng)果應(yīng)用必須運(yùn)行在嚴(yán)格的沙箱環(huán)境當(dāng)中，從而與操作系統(tǒng)的其它組件彼此隔離。這意味著，如果像WhatsApp這樣的第三方應(yīng)用程序遭到入侵，攻擊者還需要采取新的方式進(jìn)一步突破沙箱，才能獲得對(duì)目標(biāo)設(shè)備的深層控制。然而，iMessage中的某些易受攻擊的組件與SpringBoard集成，而后者屬于管理設(shè)備主屏幕的iOS程序。該程序根本就沒(méi)有自己的沙箱環(huán)境。

Linux Henze在評(píng)論iMessage時(shí)也說(shuō)道：“我個(gè)人無(wú)法理解他們?yōu)槭裁床蝗娌捎蒙诚浠瘷C(jī)制。他們應(yīng)該假設(shè)自己的代碼也會(huì)有bug，并確保與其他應(yīng)用程序采取同樣的沙箱保護(hù)措施，例如WhatsApp、Signal以及任何其他應(yīng)用程序。”

蘋(píng)果之所以能夠?yàn)閕Phone建立起良好的安全聲譽(yù)，靠的就是對(duì)在App Store上線(xiàn)的一切應(yīng)用程序進(jìn)行全面審查和嚴(yán)格隔離。