谷歌旗下的Project Zero信息安全团队公布了其在苹果公司的Image I/O 中发现的一些bug。Image I/O库是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒体库,因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。如果黑客利用这些漏洞加以攻击,那么很可能导致用户遭遇“零点击”攻击事件。不过值得庆幸的是在谷歌公布这些漏洞之前,苹果已经对其进行了修复。
而该问题又是Image I/O图像格式解析器所造成的,我们知道黑客经常对于图像解析框架进行攻击,通过制作畸形的媒体文件,可以利用图像解析程序存在的漏洞,在目标主机上执行恶意代码。
零日漏洞与Project Zero
我们知道在信息安全界,正规的团队都会选择在漏洞修复之后,再对漏洞进行公开,也就是漏洞公开时,其威胁已经不存在了。而“零日漏洞”(zero-day)则与这种正规渠道公布的漏洞相对应,也称零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
虽然还没有出现大量的“零日漏洞”攻击,但其威胁日益增长,比如之前著名的勒索病毒WannaCry所利用的“永恒之蓝”就是一个典型的零日漏洞,“永恒之蓝”造成150个国家、30万名用户中招,损失高达80亿美元。
而为了应对零日漏洞,谷歌推出了Project Zero计划(官方博客:https://googleprojectzero.blogspot.com/),并表示:“我们的目的是为了大幅减少有针对性的网络攻击。我们会聘请最好的、有想法且具备实践能力的安全研究人员来改善整个互联网的安全,并为之付出其100%的时间与精力。
Project Zero的阵容,有如“梦之队”一般的豪华。其团队成员包括曾在2013年发现存在于AdobeFlash及微软Office中大量漏洞的新西兰人本·霍克斯(Ben Hawkes)、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪(Tavis Ormandy)、成功破解谷歌Chrome操作系统的乔治·霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特·伊恩·贝尔(Brit Ian Beer)等等。他们大多数都可以不在谷歌总部办公室办公,并使用专业的漏洞查找工具对目标软件进行扫描,从而发现有可能包含有漏洞的系统、软件设计。从目前的情况看Project Zero团队的确是致力于减少整体互联网的网络攻击,而并不仅将眼光局限于在谷歌自有的产品线,而且目前战功卓越,已经成功发现了如Windows记事本等多个高危漏洞,并阻止了互联网安全事件的发生。
为什么多媒体组件是黑客最爱
在目前各类主流的操作系统当中,都会有文件的自动分类功能,用户可以在文件浏览器中对于如声音、视频、图片进行分类浏览。这也就是说任意一个新多媒体文件,都会自动地被操作系统解析,而这个解析操作是不需要与用户进行交互的,这也是此类事件被称为“零点击”漏洞的原因。而且多媒体解析类库,代码一般跨平台的,也就是其行为在各个操作系统相同。
正是由于以上原因,使得多媒体解析类库成为黑客最理想的攻击点,因为它们能够在足够多数量的系统上运行恶意代码,甚至不需要与用户交互。黑客所要做的就是找到一种方法,将格式错误的多媒体文件发送到设备,等待文件处理,直到漏洞代码触发。在当今互联的世界中,交换图像和视频是最常见的用户交互之一。因此,将恶意代码隐藏在通过短信、电子邮件或社交发送的图像中,是非常隐蔽而且高效的攻击方法。
本次漏洞的主角Image I/O,就是苹果用于Apple 设备中的图像解析处理类库。由于其在 Apple 应用生态系统中的核心角色,Image I/O 是一个危险的攻击表面,它本质上为任何攻击者提供零点击入侵媒介,所以需要尽可能保证安全。
谷歌Project Zero团队成员介绍,由于苹果并未开放Image I/O源码,因此他们使用了模糊技术,来测试Image I/O如何处理格式错误的图像文件。模糊过程为Image I/O提供意外输入,以便检测框架代码中未来攻击的异常和潜在入口点,最终Project Zero团队在ImageI/O中发现了6个漏洞,在Image I/O集成的另一开源库OpenEXR中,发现了另外8个漏洞。不过谷歌并没有验证这些漏洞能否被用来获取设备的最高权限,因为这不是他们工作的目的。但笔者相信这些漏洞中,肯定存在最高级别的安全缺陷。
然而Project Zero团队成员也警告,由于缺乏可见性和对框架源代码的访问,他的工作很可能不完整。目前发现的漏洞应该仅仅是对ImageI/O和其他苹果图像与多媒体处理组件问题暴露的开始,这些图像类库对于非法黑客来说,极具吸引力,正如前文所述有关图像的类型漏洞,都可以用于创造“零点击”攻击。
目前最简单的规避方法,是将Image I/O 进行分拆,比如在 Stagefright 漏洞暴发后,Google就将MediaServer 类库进行了拆分,并授予不同访问权限的保护,使攻击更难实现,当然直接使用安卓的MediaServer类库,可能对于苹果来说也是个不错的办法。
后记
随着全球间谍软件和监控软件供应商数量的增加,黑客们都在寻找破坏系统的简便、高效方法,而图像解析类库则提供了其中最为便捷的方式。正所谓魔高一迟,道高一丈,据笔者观察,在信息安全方面,红方占优的情况,正发生着慢慢的变化,因此还需要业界高度重视安全方面的新动向,以防勒索病毒的悲剧在IT界发生。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
