iOS也不安全？高危漏洞威脅近半果粉！

前言

iOS系統向來以其良好的安全性深得廣大使用者的信賴，特別是其安全升級速度與安卓相比有明顯優勢。但是根據百度安全實驗室對上億臺國內iOS裝置系統版本統計發現，iOS 10.3.3於7.19日釋出至今已有50天，僅有54%的使用者升級到了最新的iOS 10.3.3系統，剩餘的近半數國內iOS裝置依然停留在受高危漏洞影響的舊版系統。即使最新的iPhone7系列機型，也有近32%的裝置沒有及時升級。而這些舊版本的多個高危漏洞的利用方法已經被公開，未升級使用者面臨著嚴峻的安全風險。我們呼籲iOS使用者儘快升級，也呼籲手機廠商採用更有效的技術保護普通使用者，防止他們受到已知高危漏洞的威脅。

近半數國內iOS使用者面臨高危漏洞威脅

安全實驗室對國內上億臺iOS裝置的系統版本進行了統計，排除虛假裝置干擾後結果顯示，目前國內升級到最新的iOS 10.3.3系統的裝置僅佔54%。依然有近半的iOS裝置分散停留在其餘44個不同的舊版iOS系統。這些執行舊版iOS系統的裝置將面臨前文中列舉的各個高危漏洞帶來的安全風險。

詳細的系統版本比例分佈如圖1所示，從左半部分開始，逆時針方向按新舊版本次序依次為最新的iOS 10.3.3到4年前的版本iOS 7。其中，最新的iOS 10.3.3系統佔比53.6%；iOS 10的舊版本主要以10.3.2 （佔比8.2%）和 10.2.1（佔比6.2%）為主，10.2與10.1.1各佔3%，剩餘7個iOS 10舊版本公佔比6.9%；仍有超過18%的使用者停留在iOS 10之前的版本，釋出已經兩年的iOS 9 佔比11.9%，釋出已經三年的iOS 8 佔比 6%。

此外，我們對主要機型類別的系統版本比例進行了統計，結果如圖2所示，自左至右分別為iPhone7系列（2016年9月釋出），iPhone6s系列（2015年9月釋出）, 更老的iPhone型號，iPad Pro系列和其他iPad系列。5類裝置型號都一定比例的碎片化問題，即便是目前最新的iPhone7系列手機，也有近32%沒有升級到最新的10.3.3系統。

圖1. 國內iOS裝置系統版本分佈

圖2. 不同機型類別的系統版本分佈

多個高危漏洞利用被公開，影響iOS10.3.3之前所有版本

每次iOS系統釋出新版本後，新版本已修復的部分漏洞細節以及利用方法會被研究者公開，部分漏洞利用的完整程式碼也會公開發布供研究交流。在為安全社群作出貢獻的同時，也為惡意攻擊者提供了便利的攻擊條件。惡意攻擊者也可以從公開渠道獲取相關利用程式碼，結合部分Webkit漏洞利用，甚至可以完成從點選連結到獲取Kernel許可權的完整攻擊。如果使用者沒有及時更新到最新版的iOS系統，將面臨嚴峻的安全威脅。

 

表1. 部分已公開完整利用程式碼的通用漏洞利用統計

● Triple Fetch漏洞（CVE-2017-7047）：影響10.3.2及之前的iOS系統，通過攻擊使用者態XPC通訊反序列化機制的缺陷，從而實現在特權使用者態程式（如launchd，coreauthd等）中的任意程式碼執行。完整的漏洞利用程式碼已經被公開。 

● ziVA系列核心漏洞：影響10.3.1及之前的iOS系統，通過攻擊核心AppleAVEDriver的邏輯缺陷進而獲取Kernel許可權。該攻擊可以複用上面的Triple Fetch漏洞完成前期沙盒逃逸，完整的漏洞利用程式碼已經在github公開。 

●  BroadPwn Wi-Fi漏洞（CVE-2017-6975）：影響10.3及之前的iOS系統，iOS裝置上的Broadcom Wi-Fi晶片韌體中含有緩衝區溢位漏洞。攻擊者可以通過網路直接攻擊同一Wi-Fi熱點下的有漏洞的iOS裝置，在受害者無感知的情況下在對方裝置上執行惡意程式碼。

●  mach_voucher核心漏洞（CVE-2017-2370）：影響10.2及之前的iOS系統，通過攻擊iOS 10新引入的mach trap的缺陷以獲得核心空間的任意讀寫能力。完整的利用程式碼已經公開，該漏洞也被用於 yalu 10.2越獄工具中。

iOS升級和漏洞修復策略

在iOS系統為使用者提供更多的安全防護與隱私保護策略的同時，針對iOS系統的漏洞也呈現逐年上漲的趨勢。由於iOS系統尚無熱修復的功能，使用者只能通過系統升級的方式來消除漏洞威脅。在過去的一年裡，蘋果公司陸續釋出12個iOS版本（目前版本號為10.3.3）更新，共計修復338個安全漏洞，包含30個核心漏洞，106個Webkit程式碼執行漏洞，其中多個高危漏洞完整利用程式碼已經公開，可直接獲取系統最高許可權，嚴重威脅使用者安全。

自2016年9月釋出至今，iOS 10系統每隔2個月會有一次小版本升級，每次升級平均修復數十個高危安全漏洞。攻擊者可以通過點選連結、訪問惡意服務線網路、安裝應用等方式對系統發起攻擊，利用這些高危漏洞獲取系統最高許可權，進而達到竊取使用者敏感資訊、遠端監控、定向攻擊等目的。

蘋果公司開發者網站顯示，自2016年9月釋出至今，全球範圍內87%的iOS使用者已經升級到iOS 10，但沒有給出具體的版本分佈情況。但如前文所述，小版本的更新不及時依然會造成嚴峻的安全威脅。

 

表2. iOS 10各版本釋出時間、修復漏洞數量統計 

表2列舉了含有安全更新的iOS版本、釋出時間、間隔天數與修復漏洞總數的統計情況，統計時去除了iOS10中三個（10.0.2，10.0.3，10.1.1）無安全更新的版本。從表中計算得到，常規情況下平均每46天iOS系統會進行一次系統更新，每次更新平均修復漏洞34個。在某些特殊情況下，蘋果公司也會選擇在更短的週期內釋出更新，緊急修復個別高危漏洞。例如，為了修復部分iPhone 7/7Plus 預裝iOS 10系統中的高危漏洞，選在在釋出iOS10的同一天釋出iOS 10.0.1，對“三叉戟”iOS APT攻擊中的核心資訊洩漏漏洞(CVE-2016-4655)進行修復；在Project Zero正式發表部落格公開漏洞細節的前一天，釋出iOS 10.3.1修復高通Wi-Fi晶片任意程式碼執行漏洞（CVE-2017-6975）。

除了統計每個安全更新修復的漏洞總數外，我們還對版本升級中修復的核心漏洞數量（可被利用獲取系統最高許可權）和Webkit程式碼執行漏洞數量（可被利用完成遠端攻擊）單獨進行了統計：

●  核心漏洞：包含核心拒絕服務、核心資訊洩漏、核心程式碼執行等多種不同型別的漏洞。一次完整的核心攻擊通常是對一個漏洞直接利用或多個核心漏洞組合利用完成的。一旦漏洞利用成功，將會直接獲取系統最高許可權執行任意程式碼，使用者的所有資訊也會被攻擊者輕易獲取。如表2所示，常規版本升級幾乎每次都會修復核心漏洞。

●  Webkit中的可執行漏洞：Webkit是iOS系統瀏覽器的核心執行引擎，其攻擊途徑容易，危害程度高。受害者無需安裝應用，點選連結即可被遠端攻擊。如表3所示，Webkit程式碼執行相關的漏洞數量較核心更多，通常會修復數十個。雖然iOS的安全更新說明中模糊描述了漏洞詳情，很多都可以通過CVE編號在exploit-db等公開渠道獲取PoC。

 

表3. 各版本修復核心漏洞數量和Webkit程式碼執行漏洞數量統計

iOS系統安全生態面臨碎片化問題

由於蘋果公司的封閉策略，硬體方面嚴格控制了執行iOS的機型數量；軟體方面，只有系統大版本（通常每年一次）釋出才引入API的變動。因此，從開發的角度看，iOS系統的開發生態面臨的碎片化問題不大。

 

表4. iOS小版本數量統計

然而，如表4所示，過去四年釋出的四個iOS大版本中共涵蓋了45個小版本的升級。這意味著iOS系統每一次帶有安全更新的小版本升級都將把整個iOS安全生態的系統分佈進行一次切割。每個小版本都會有部分的殘留使用者，只有一直保持升級到最新系統的使用者才可能最大限度的免受安全威脅。因此，從安全的角度看，iOS安全生態也會面臨碎片化的問題。

值得注意的是，iOS系統升級需要蘋果服務端驗證，服務端只允許iOS系統升級至當前的最新版，這種升級策略在一定程度上可以避免使用者在部分中間版本有滯留，緩解安全生態碎片化的問題。

然而，實際的統計結果顯示，iOS安全生態碎片化問題依然存在，使用者選擇不升級的帶來的安全隱患不容忽視。

另外，我們還統計了自7月19日iOS 10.3.3正式釋出以來，國內iOS使用者系統的升級趨勢。如圖3所示，iOS 10.3.3主要來自10.3.2的使用者，這部分使用者升級習慣較好，會在接到新版本通知時及時升級系統。升級系統的裝置中，近80%在釋出後新版本的三週之內選擇了升級，隨後整個升級趨勢放緩。其他各殘留舊版本均有少量使用者選擇升級，整體佔比有微小的下降趨勢，但大多數使用者仍然選擇停留在舊版系統。

圖3. 國內iOS使用者升級趨勢

結語

雖然蘋果強制升級最新版的策略在一定程度上可以緩解安全生態的碎片化，從實際的統計情況來國內近半數的iOS裝置並不能及時升級，安全生態的碎片化問題依然存在。近期iOS 11會正式釋出，在提供新功能同時，還會修復大量安全漏洞，建議廣大使用者在條件允許的情況下及時升級到最新版本，避免受到高危漏洞影響。同時我們也呼籲手機廠商採用更有效的技術保護普通使用者，防止他們受到已知高危漏洞的威脅。 

本文作者：郭佳

本文轉自雷鋒網禁止二次轉載，原文連結