驱动模块是影响苹果系统内核安全的“心脏地带”。如果驱动模块出现漏洞,将给终端用户的设备安全和数据隐私带来极大威胁。近日,阿里安全猎户座实验室宣布了一项研究成果,其与印第安纳大学合作研发了一种针对苹果系统驱动模块安全性进行分析和漏洞检测的工具框架“iDEA”。这项由阿里安全研发的新一代安全架构安全技术层的核心技术,可对iPhone、Mac Book、iPad、Apple TV等苹果终端设备的驱动模块进行“安全体检”,自动检测是否存在可被攻击者利用的漏洞。
研究者还对15个苹果操作系统版本中3400多个驱动模块进行了安全分析,发现了35个漏洞,苹果官方对其中5个危险漏洞的发现向研究者致谢,而阿里安全阐述这项技术的论文《iDEA:面向苹果内核驱动安全的静态分析》则被国际顶级学术会议ACM CCS 2020录用。
图:新一代安全架构安全技术层的核心技术iDEA可对苹果终端设备的驱动模块进行“安全体检”,阿里安全阐述该技术的论文被国际顶会ACM CCS 2020录用。
一、阿里检测工具发现苹果系统存高危漏洞
2019年8月,谷歌的安全团队发现了一个恶意网站,这个网站针对iPhone用户进行了长达数年的秘密攻击。该网站利用一系列漏洞能够在访问者的iPhone手机上安装后门程序、获取系统最高权限并窃取隐私数据。其中,攻击者正是使用了4个存在于“驱动模块”中的漏洞,才实现了安装后门和获取权限等攻击。
阿里安全的研究人员对iOS 8到13.4.1中所有公开的内核漏洞进行了统计分析,发现有近三分之一的内核漏洞都源自“驱动模块”。可见苹果操作系统中“驱动模块”的安全性仍面临巨大考验,但业界却没有与之相对应的能对各个苹果系统中驱动模块进行安全分析和漏洞检测的工具。
在这种紧迫的安全需求下,阿里安全研究团队提出了iDEA,可帮助安全研究人员对苹果系统驱动模块进行“安全体检”,及时发现漏洞,甚至实现定制化的“漏洞体检”。
阿里安全的研究者通过这项工具发现了35个可实现“内存破坏”的漏洞,其中5个高危漏洞甚至可导致iOS、macOS等苹果系统崩溃,让攻击者在用户系统安装后门,获取最高权限和窃取用户隐私数据等。
图:阿里安全打造的苹果系统内核驱动模块“体检工具”原理图
阿里安全猎户座实验室安全专家白小龙表示:“驱动模块存在的这些漏洞会影响苹果的普通用户,我们建议将苹果系统保持更新到最新版,且不要访问来历不明的网站或从非App Store途径下载来历不明的App,Mac Book用户则不要使用未经苹果公司签名认证的应用程序,不要轻易在‘安全性与隐私’设置中允许不可信应用程序的运行。”
二、1iDEA检测工具可大幅降低风险排查成本
“我们做这个工具主要目的是推动漏洞检测技术的发展。”白小龙说。以往针对苹果系统安全分析和漏洞检测的大多数工作需要大量人工投入时间和精力,非常依赖研究人员的个人经验。
阿里安全猎户座实验室负责人杭特评价,iDEA的提出向苹果系统驱动模块的自动化安全分析和漏洞扫描迈出了第一步。“包括漏洞检测在内的安全攻防技术越来越自动化和智能化,可缩短分析时间、提高分析效率。”杭特表示,希望更多安全研究人员将经验转化成可以在iDEA上部署的检测策略,使苹果系统驱动模块当中的安全漏洞,能够快速被发现和修复,保护广大用户的设备安全性和数据隐私性。
随系统体积和代码量急速增长,iOS、macOS、iPadOS、tvOS等系统出现安全漏洞几乎是无法避免的,黑客也会因利用漏洞带来的巨大价值想尽办法从中寻找漏洞。阿里推出iDEA这样自动化的漏洞检测工具,可帮助更多商业公司及早发现其产品中的漏洞,在漏洞未被黑客发现或利用之前进行修复。
据悉,阿里安全研究团队不仅打造了针对驱动模块的自动“体检”工具,还在不断对iDEA进行扩展和补充,包括强化分析能力、提高分析效率、扩展分析对象,不断补充新的漏洞检测策略。白小龙透露,目前阿里安全还在研究可对众多第三方软件厂商推出的内核扩展模块进行安全分析的工具,希望能打造出通用型的内核“体检”工具。他也期待,更多对系统安全研究有兴趣的安全研究者参与这项研究,为内核安全再加砝码。
