【TechWeb】驅動模塊是影響蘋果系統內核安全的“心臟地帶”。如果驅動模塊出現漏洞,將給終端用戶的設備安全和數據隱私帶來極大威脅。近日,阿里安全獵戶座實驗室宣布了一項研究成果,其與印第安納大學合作研發了一種針對蘋果系統驅動模塊安全性進行分析和漏洞檢測的工具框架“iDEA”。這項由阿里安全研發的新一代安全架構安全技術層的核心技術,可對iPhone、Mac Book、iPad、Apple TV等蘋果終端設備的驅動模塊進行“安全體檢”,自動檢測是否存在可被攻擊者利用的漏洞。
研究者還對15個蘋果操作系統版本中3400多個驅動模塊進行了安全分析,發現了35個漏洞,蘋果官方對其中5個危險漏洞的發現向研究者致謝,而阿里安全闡述這項技術的論文《iDEA:面向蘋果內核驅動安全的靜態分析》則被國際頂級學術會議ACM CCS2020錄用。
圖:新一代安全架構安全技術層的核心技術iDEA可對蘋果終端設備的驅動模塊進行“安全體檢”,阿里安全闡述該技術的論文被國際頂會ACM CCS2020錄用。
一、阿里檢測工具發現蘋果系統存高危漏洞
2019年8月,谷歌的安全團隊發現了一個惡意網站,這個網站針對iPhone用戶進行了長達數年的秘密攻擊。該網站利用一系列漏洞能夠在訪問者的iPhone手機上安裝后門程序、獲取系統最高權限并竊取隱私數據。其中,攻擊者正是使用了4個存在于“驅動模塊”中的漏洞,才實現了安裝后門和獲取權限等攻擊。
阿里安全的研究人員對iOS8到13.4.1中所有公開的內核漏洞進行了統計分析,發現有近三分之一的內核漏洞都源自“驅動模塊”。可見蘋果操作系統中“驅動模塊”的安全性仍面臨巨大考驗,但業界卻沒有與之相對應的能對各個蘋果系統中驅動模塊進行安全分析和漏洞檢測的工具。
在這種緊迫的安全需求下,阿里安全研究團隊提出了iDEA,可幫助安全研究人員對蘋果系統驅動模塊進行“安全體檢”,及時發現漏洞,甚至實現定制化的“漏洞體檢”。
阿里安全的研究者通過這項工具發現了35個可實現“內存破壞”的漏洞,其中5個高危漏洞甚至可導致iOS、macOS等蘋果系統崩潰,讓攻擊者在用戶系統安裝后門,獲取最高權限和竊取用戶隱私數據等。
圖:阿里安全打造的蘋果系統內核驅動模塊“體檢工具”原理圖
阿里安全獵戶座實驗室安全專家白小龍表示:“驅動模塊存在的這些漏洞會影響蘋果的普通用戶,我們建議將蘋果系統保持更新到最新版,且不要訪問來歷不明的網站或從非App Store途徑下載來歷不明的App,Mac Book用戶則不要使用未經蘋果公司簽名認證的應用程序,不要輕易在‘安全性與隱私’設置中允許不可信應用程序的運行。”
二、1iDEA檢測工具可大幅降低風險排查成本
“我們做這個工具主要目的是推動漏洞檢測技術的發展。”白小龍說。以往針對蘋果系統安全分析和漏洞檢測的大多數工作需要大量人工投入時間和精力,非常依賴研究人員的個人經驗。
阿里安全獵戶座實驗室負責人杭特評價,iDEA的提出向蘋果系統驅動模塊的自動化安全分析和漏洞掃描邁出了第一步。“包括漏洞檢測在內的安全攻防技術越來越自動化和智能化,可縮短分析時間、提高分析效率。”杭特表示,希望更多安全研究人員將經驗轉化成可以在iDEA上部署的檢測策略,使蘋果系統驅動模塊當中的安全漏洞,能夠快速被發現和修復,保護廣大用戶的設備安全性和數據隱私性。
隨系統體積和代碼量急速增長,iOS、macOS、iPadOS、tvOS等系統出現安全漏洞幾乎是無法避免的,黑客也會因利用漏洞帶來的巨大價值想盡辦法從中尋找漏洞。阿里推出iDEA這樣自動化的漏洞檢測工具,可幫助更多商業公司及早發現其產品中的漏洞,在漏洞未被黑客發現或利用之前進行修復。
據悉,阿里安全研究團隊不僅打造了針對驅動模塊的自動“體檢”工具,還在不斷對iDEA進行擴展和補充,包括強化分析能力、提高分析效率、擴展分析對象,不斷補充新的漏洞檢測策略。白小龍透露,目前阿里安全還在研究可對眾多第三方軟件廠商推出的內核擴展模塊進行安全分析的工具,希望能打造出通用型的內核“體檢”工具。他也期待,更多對系統安全研究有興趣的安全研究者參與這項研究,為內核安全再加砝碼。
