iOS也不安全？高危漏洞威脅近半果粉！

向來以其良好的安全性深得廣大用戶的信賴的iOS系統，舊版本的多個高危漏洞的利用方法已經被公開。

本文作者：郭佳

編者按：你的iOS升級了么？來自百度安全實驗室的這篇研究讓讓雷鋒網的編輯看了驚出一身冷汗！竟然還有近半數國內iOS設備依然停留在受高危漏洞影響的舊版系統，而這些已經被公布的漏洞隨時有被黑客利用的危險。經常在半夜升級iOS，總是由於電量不足或者沒有接入充電線而升級失敗，看完這篇文章，還是乖乖去升級吧。

前言

iOS系統向來以其良好的安全性深得廣大用戶的信賴，特別是其安全升級速度與安卓相比有明顯優勢。但是根據百度安全實驗室對上億台國內iOS設備系統版本統計發現，iOS 10.3.3於7.19日發布至今已有50天，僅有54%的用戶升級到了最新的iOS 10.3.3系統，剩餘的近半數國內iOS設備依然停留在受高危漏洞影響的舊版系統。即使最新的iPhone7系列機型，也有近32%的設備沒有及時升級。而這些舊版本的多個高危漏洞的利用方法已經被公開，未升級用戶面臨著嚴峻的安全風險。我們呼籲iOS用戶儘快升級，也呼籲手機廠商採用更有效的技術保護普通用戶，防止他們受到已知高危漏洞的威脅。

近半數國內iOS用戶面臨高危漏洞威脅

安全實驗室對國內上億台iOS設備的系統版本進行了統計，排除虛假設備干擾後結果顯示，目前國內升級到最新的iOS 10.3.3系統的設備僅佔54%。依然有近半的iOS設備分散停留在其餘44個不同的舊版iOS系統。這些運行舊版iOS系統的設備將面臨前文中列舉的各個高危漏洞帶來的安全風險。

詳細的系統版本比例分布如圖1所示，從左半部分開始，逆時針方向按新舊版本次序依次為最新的iOS 10.3.3到4年前的版本iOS 7。其中，最新的iOS 10.3.3系統佔比53.6%；iOS 10的舊版本主要以10.3.2 （佔比8.2%）和 10.2.1（佔比6.2%）為主，10.2與10.1.1各佔3%，剩餘7個iOS 10舊版本公佔比6.9%；仍有超過18%的用戶停留在iOS 10之前的版本，發布已經兩年的iOS 9 佔比11.9%，發布已經三年的iOS 8 佔比 6%。

此外，我們對主要機型類別的系統版本比例進行了統計，結果如圖2所示，自左至右分別為iPhone7系列（2016年9月發布），iPhone6s系列（2015年9月發布）, 更老的iPhone型號，iPad Pro系列和其他iPad系列。5類設備型號都一定比例的碎片化問題，即便是目前最新的iPhone7系列手機，也有近32%沒有升級到最新的10.3.3系統。

圖1. 國內iOS設備系統版本分布

圖2. 不同機型類別的系統版本分布

多個高危漏洞利用被公開，影響iOS10.3.3之前所有版本

每次iOS系統發布新版本後，新版本已修復的部分漏洞細節以及利用方法會被研究者公開，部分漏洞利用的完整代碼也會公開發布供研究交流。在為安全社區作出貢獻的同時，也為惡意攻擊者提供了便利的攻擊條件。惡意攻擊者也可以從公開渠道獲取相關利用代碼，結合部分Webkit漏洞利用，甚至可以完成從點擊鏈接到獲取Kernel許可權的完整攻擊。如果用戶沒有及時更新到最新版的iOS系統，將面臨嚴峻的安全威脅。

表1. 部分已公開完整利用代碼的通用漏洞利用統計

● Triple Fetch漏洞（CVE-2017-7047）：影響10.3.2及之前的iOS系統，通過攻擊用戶態XPC通信反序列化機制的缺陷，從而實現在特權用戶態進程（如launchd，coreauthd等）中的任意代碼執行。完整的漏洞利用代碼已經被公開。

● ziVA系列內核漏洞：影響10.3.1及之前的iOS系統，通過攻擊內核AppleAVEDriver的邏輯缺陷進而獲取Kernel許可權。該攻擊可以復用上面的Triple Fetch漏洞完成前期沙盒逃逸，完整的漏洞利用代碼已經在github公開。

● BroadPwn Wi-Fi漏洞（CVE-2017-6975）：影響10.3及之前的iOS系統，iOS設備上的Broadcom Wi-Fi晶元固件中含有緩衝區溢出漏洞。攻擊者可以通過網路直接攻擊同一Wi-Fi熱點下的有漏洞的iOS設備，在受害者無感知的情況下在對方設備上運行惡意代碼。

● mach_voucher內核漏洞（CVE-2017-2370）：影響10.2及之前的iOS系統，通過攻擊iOS 10新引入的mach trap的缺陷以獲得內核空間的任意讀寫能力。完整的利用代碼已經公開，該漏洞也被用於 yalu 10.2越獄工具中。

iOS升級和漏洞修復策略

在iOS系統為用戶提供更多的安全防護與隱私保護策略的同時，針對iOS系統的漏洞也呈現逐年上漲的趨勢。由於iOS系統尚無熱修復的功能，用戶只能通過系統升級的方式來消除漏洞威脅。在過去的一年裡，蘋果公司陸續發布12個iOS版本（目前版本號為10.3.3）更新，共計修復338個安全漏洞，包含30個內核漏洞，106個Webkit代碼執行漏洞，其中多個高危漏洞完整利用代碼已經公開，可直接獲取系統最高許可權，嚴重威脅用戶安全。

自2016年9月發布至今，iOS 10系統每隔2個月會有一次小版本升級，每次升級平均修複數十個高危安全漏洞。攻擊者可以通過點擊鏈接、訪問惡意服務線網路、安裝應用等方式對系統發起攻擊，利用這些高危漏洞獲取系統最高許可權，進而達到竊取用戶敏感信息、遠程監控、定向攻擊等目的。

蘋果公司開發者網站顯示，自2016年9月發布至今，全球範圍內87%的iOS用戶已經升級到iOS 10，但沒有給出具體的版本分布情況。但如前文所述，小版本的更新不及時依然會造成嚴峻的安全威脅。

表2. iOS 10各版本發布時間、修復漏洞數量統計

表2列舉了含有安全更新的iOS版本、發布時間、間隔天數與修復漏洞總數的統計情況，統計時去除了iOS10中三個（10.0.2，10.0.3，10.1.1）無安全更新的版本。從表中計算得到，常規情況下平均每46天iOS系統會進行一次系統更新，每次更新平均修復漏洞34個。在某些特殊情況下，蘋果公司也會選擇在更短的周期內發布更新，緊急修復個別高危漏洞。例如，為了修復部分iPhone 7/7Plus 預裝iOS 10系統中的高危漏洞，選在在發布iOS10的同一天發布iOS 10.0.1，對「三叉戟」iOS APT攻擊中的內核信息泄漏漏洞(CVE-2016-4655)進行修復；在Project Zero正式發表博客公開漏洞細節的前一天，發布iOS 10.3.1修復高通Wi-Fi晶元任意代碼執行漏洞（CVE-2017-6975）。

除了統計每個安全更新修復的漏洞總數外，我們還對版本升級中修復的內核漏洞數量（可被利用獲取系統最高許可權）和Webkit代碼執行漏洞數量（可被利用完成遠程攻擊）單獨進行了統計：

● 內核漏洞：包含內核拒絕服務、內核信息泄漏、內核代碼執行等多種不同類型的漏洞。一次完整的內核攻擊通常是對一個漏洞直接利用或多個內核漏洞組合利用完成的。一旦漏洞利用成功，將會直接獲取系統最高許可權執行任意代碼，用戶的所有信息也會被攻擊者輕易獲取。如表2所示，常規版本升級幾乎每次都會修復內核漏洞。

● Webkit中的可執行漏洞：Webkit是iOS系統瀏覽器的核心執行引擎，其攻擊途徑容易，危害程度高。受害者無需安裝應用，點擊鏈接即可被遠程攻擊。如表3所示，Webkit代碼執行相關的漏洞數量較內核更多，通常會修複數十個。雖然iOS的安全更新說明中模糊描述了漏洞詳情，很多都可以通過CVE編號在exploit-db等公開渠道獲取PoC。

表3. 各版本修復內核漏洞數量和Webkit代碼執行漏洞數量統計

iOS系統安全生態面臨碎片化問題

由於蘋果公司的封閉策略，硬體方面嚴格控制了運行iOS的機型數量；軟體方面，只有系統大版本（通常每年一次）發布才引入API的變動。因此，從開發的角度看，iOS系統的開發生態面臨的碎片化問題不大。

表4. iOS小版本數量統計

然而，如表4所示，過去四年發布的四個iOS大版本中共涵蓋了45個小版本的升級。這意味著iOS系統每一次帶有安全更新的小版本升級都將把整個iOS安全生態的系統分布進行一次切割。每個小版本都會有部分的殘留用戶，只有一直保持升級到最新系統的用戶才可能最大限度的免受安全威脅。因此，從安全的角度看，iOS安全生態也會面臨碎片化的問題。

值得注意的是，iOS系統升級需要蘋果服務端驗證，服務端只允許iOS系統升級至當前的最新版，這種升級策略在一定程度上可以避免用戶在部分中間版本有滯留，緩解安全生態碎片化的問題。

然而，實際的統計結果顯示，iOS安全生態碎片化問題依然存在，用戶選擇不升級的帶來的安全隱患不容忽視。

另外，我們還統計了自7月19日iOS 10.3.3正式發布以來，國內iOS用戶系統的升級趨勢。如圖3所示，iOS 10.3.3主要來自10.3.2的用戶，這部分用戶升級習慣較好，會在接到新版本通知時及時升級系統。升級系統的設備中，近80%在發布後新版本的三周之內選擇了升級，隨後整個升級趨勢放緩。其他各殘留舊版本均有少量用戶選擇升級，整體佔比有微小的下降趨勢，但大多數用戶仍然選擇停留在舊版系統。

圖3. 國內iOS用戶升級趨勢

結語

雖然蘋果強制升級最新版的策略在一定程度上可以緩解安全生態的碎片化，從實際的統計情況來國內近半數的iOS設備並不能及時升級，安全生態的碎片化問題依然存在。近期iOS 11會正式發布，在提供新功能同時，還會修復大量安全漏洞，建議廣大用戶在條件允許的情況下及時升級到最新版本，避免受到高危漏洞影響。同時我們也呼籲手機廠商採用更有效的技術保護普通用戶，防止他們受到已知高危漏洞的威脅。

參考文獻

[1] https://developer.apple.com/support/app-store/

[2] https://www.cvedetails.com/version-list/49/15556/1/Apple-Iphone-Os.html

[3] https://bugs.chromium.org/p/project-zero/issues/detail?id=1247

[4] https://github.com/doadam/ziVA

[5] https://bugs.chromium.org/p/project-zero/issues/detail?id=1004

[6] https://bugs.chromium.org/p/project-zero/issues/detail?id=965

[7] https://en.wikipedia.org/wiki/IOS_version_history

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！