4月28日,谷歌旗下的Project Zero資訊保安團隊公佈了其在蘋果公司的Image I/O 中發現的一些bug。Image I/O庫是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒體庫,因此谷歌曝光的這一缺陷,幾乎影響蘋果的每一個主要平臺。如果駭客利用這些漏洞加以攻擊,那麼很可能導致使用者遭遇“零點選”攻擊事件。不過值得慶幸的是在谷歌公佈這些漏洞之前,蘋果已經對其進行了修復。
而該問題又是Image I/O影象格式解析器所造成的,我們知道駭客經常對於影象解析框架進行攻擊,透過製作畸形的媒體檔案,可以利用影象解析程式存在的漏洞,在目標主機上執行惡意程式碼。
零日漏洞與Project Zero
我們知道在資訊保安界,正規的團隊都會選擇在漏洞修復之後,再對漏洞進行公開,也就是漏洞公開時,其威脅已經不存在了。而“零日漏洞”(zero-day)則與這種正規渠道公佈的漏洞相對應,也稱零時差攻擊,是指被發現後立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程式就出現。這種攻擊往往具有很大的突發性與破壞性。
雖然還沒有出現大量的“零日漏洞”攻擊,但其威脅日益增長,比如之前著名的勒索病毒WannaCry所利用的“永恆之藍”就是一個典型的零日漏洞,“永恆之藍”造成150個國家、30萬名使用者中招,損失高達80億美元。
而為了應對零日漏洞,谷歌推出了Project Zero計劃(官方部落格:https://googleprojectzero.blogspot.com/),並表示:“我們的目的是為了大幅減少有針對性的網路攻擊。我們會聘請最好的、有想法且具備實踐能力的安全研究人員來改善整個網際網路的安全,併為之付出其100%的時間與精力。
Project Zero的陣容,有如“夢之隊”一般的豪華。其團隊成員包括曾在2013年發現存在於AdobeFlash及微軟Office中大量漏洞的紐西蘭人本·霍克斯(Ben Hawkes)、英國知名“零日漏洞查殺”專家塔維斯·奧曼迪(Tavis Ormandy)、成功破解谷歌Chrome作業系統的喬治·霍茲以及曾經發現了蘋果iOS、OSX和Safari瀏覽器多個漏洞的神秘瑞士駭客佈雷特·伊恩·貝爾(Brit Ian Beer)等等。他們大多數都可以不在谷歌總部辦公室辦公,並使用專業的漏洞查詢工具對目標軟體進行掃描,從而發現有可能包含有漏洞的系統、軟體設計。從目前的情況看Project Zero團隊的確是致力於減少整體網際網路的網路攻擊,而並不僅將眼光侷限於在谷歌自有的產品線,而且目前戰功卓越,已經成功發現瞭如Windows記事本等多個高危漏洞,並阻止了網際網路安全事件的發生。
為什麼多媒體元件是駭客最愛
在目前各類主流的作業系統當中,都會有檔案的自動分類功能,使用者可以在檔案瀏覽器中對於如聲音、影片、圖片進行分類瀏覽。這也就是說任意一個新多媒體檔案,都會自動地被作業系統解析,而這個解析操作是不需要與使用者進行互動的,這也是此類事件被稱為“零點選”漏洞的原因。而且多媒體解析類庫,程式碼一般跨平臺的,也就是其行為在各個作業系統相同。
正是由於以上原因,使得多媒體解析類庫成為駭客最理想的攻擊點,因為它們能夠在足夠多數量的系統上執行惡意程式碼,甚至不需要與使用者互動。駭客所要做的就是找到一種方法,將格式錯誤的多媒體檔案傳送到裝置,等待檔案處理,直到漏洞程式碼觸發。在當今互聯的世界中,交換影象和影片是最常見的使用者互動之一。因此,將惡意程式碼隱藏在透過簡訊、電子郵件或社交發送的影象中,是非常隱蔽而且高效的攻擊方法。
本次漏洞的主角Image I/O,就是蘋果用於Apple 裝置中的影象解析處理類庫。由於其在 Apple 應用生態系統中的核心角色,Image I/O 是一個危險的攻擊表面,它本質上為任何攻擊者提供零點選入侵媒介,所以需要儘可能保證安全。
谷歌Project Zero團隊成員介紹,由於蘋果並未開放Image I/O原始碼,因此他們使用了模糊技術,來測試Image I/O如何處理格式錯誤的影象檔案。模糊過程為Image I/O提供意外輸入,以便檢測框架程式碼中未來攻擊的異常和潛在入口點,最終Project Zero團隊在ImageI/O中發現了6個漏洞,在Image I/O整合的另一開源庫OpenEXR中,發現了另外8個漏洞。不過谷歌並沒有驗證這些漏洞能否被用來獲取裝置的最高許可權,因為這不是他們工作的目的。但筆者相信這些漏洞中,肯定存在最高級別的安全缺陷。
然而Project Zero團隊成員也警告,由於缺乏可見性和對框架原始碼的訪問,他的工作很可能不完整。目前發現的漏洞應該僅僅是對ImageI/O和其他蘋果影象與多媒體處理元件問題暴露的開始,這些影象類庫對於非法駭客來說,極具吸引力,正如前文所述有關影象的型別漏洞,都可以用於創造“零點選”攻擊。
目前最簡單的規避方法,是將Image I/O 進行分拆,比如在 Stagefright 漏洞暴發後,Google就將MediaServer 類庫進行了拆分,並授予不同訪問許可權的保護,使攻擊更難實現,當然直接使用安卓的MediaServer類庫,可能對於蘋果來說也是個不錯的辦法。
後記
隨著全球間諜軟體和監控軟體供應商數量的增加,駭客們都在尋找破壞系統的簡便、高效方法,而影象解析類庫則提供了其中最為便捷的方式。正所謂魔高一遲,道高一丈,據筆者觀察,在資訊保安方面,紅方佔優的情況,正發生著慢慢的變化,因此還需要業界高度重視安全方面的新動向,以防勒索病毒的悲劇在IT界發生。
更多精彩推薦
你點的每個“在看”,我都認真當成了喜歡