網(wǎng)絡(luò)安全公司Zimperium最新研究報(bào)告警示，iOS設(shè)備正面臨日益增長(zhǎng)的威脅，尤其是來(lái)自未經(jīng)審核及側(cè)載(sideloaded)移動(dòng)應(yīng)用的風(fēng)險(xiǎn)。盡管iPhone通常被認(rèn)為具備先天安全性，但該公司的分析顯示，某些應(yīng)用能夠悄然繞過(guò)蘋(píng)果的防護(hù)機(jī)制，使用戶和企業(yè)暴露在風(fēng)險(xiǎn)之中。

　　這份基于真實(shí)事件和主動(dòng)威脅研究的報(bào)告指出，攻擊者正越來(lái)越多地通過(guò)權(quán)限提升、濫用私有API(Application Programming Interface，應(yīng)用程序編程接口)以及完全繞過(guò)蘋(píng)果應(yīng)用審核流程的側(cè)載漏洞等手段針對(duì)iOS系統(tǒng)發(fā)起攻擊。

　　可信設(shè)備中的隱形風(fēng)險(xiǎn)

　　移動(dòng)設(shè)備已成為企業(yè)運(yùn)營(yíng)的核心工具。然而Zimperium指出，多數(shù)企業(yè)仍忽視了一個(gè)最常見(jiàn)的安全薄弱環(huán)節(jié)：第三方應(yīng)用，尤其是那些非官方App Store來(lái)源的應(yīng)用。

　　即使是看似無(wú)害的應(yīng)用也可能濫用權(quán)限或攜帶隱藏惡意代碼。例如，手電筒應(yīng)用若要求獲取通訊錄或麥克風(fēng)訪問(wèn)權(quán)限，可能不會(huì)立即引發(fā)懷疑，但Zimperium強(qiáng)調(diào)此類請(qǐng)求可能導(dǎo)致敏感數(shù)據(jù)外泄或系統(tǒng)淪陷。

　　第三方應(yīng)用商店和側(cè)載應(yīng)用風(fēng)險(xiǎn)更高。這些應(yīng)用繞過(guò)了蘋(píng)果的安全檢查，可能利用未公開(kāi)的系統(tǒng)特性或植入有害組件，悄無(wú)聲息地追蹤用戶或訪問(wèn)企業(yè)系統(tǒng)。

　　現(xiàn)實(shí)攻擊案例：TrollStore、SeaShell與MacDirtyCow

　　報(bào)告重點(diǎn)列舉了攻擊者成功利用iOS漏洞的多個(gè)實(shí)際案例：

　　(1) TrollStore利用蘋(píng)果CoreTrust和AMFI模塊的已知漏洞，通過(guò)修改授權(quán)(entitlements)實(shí)現(xiàn)應(yīng)用側(cè)載。這些通常僅限于系統(tǒng)級(jí)功能的授權(quán)，可使應(yīng)用繞過(guò)沙箱機(jī)制或悄無(wú)聲息地監(jiān)控用戶。

　　通過(guò)TrollStore分發(fā)的應(yīng)用常偽裝成無(wú)害工具，實(shí)則可能秘密訪問(wèn)系統(tǒng)日志、錄制音頻或連接外部服務(wù)器，為完全控制設(shè)備打開(kāi)方便之門。

　　(2) SeaShell作為公開(kāi)可獲取的漏洞利用后(post-exploitation)工具，基于該技術(shù)實(shí)現(xiàn)遠(yuǎn)程控制被入侵iPhone。攻擊者能通過(guò)安全連接提取數(shù)據(jù)、維持持久化訪問(wèn)及操控文件。Zimperium已監(jiān)測(cè)到通過(guò)非官方渠道傳播的SeaShell惡意軟件樣本。

　　(3)MacDirtyCow(CVE-2022-46689)則利用iOS內(nèi)核中的競(jìng)態(tài)條件(race condition)臨時(shí)修改受保護(hù)系統(tǒng)文件。雖然修改在重啟后失效，但已足夠篡改iOS權(quán)限或繞過(guò)限制。新近出現(xiàn)的KFD漏洞采用類似手法針對(duì)更新版iOS系統(tǒng)。

　　這些案例共同表明，攻擊者能在用戶毫無(wú)察覺(jué)的情況下，將訪問(wèn)權(quán)限提升至遠(yuǎn)超授權(quán)范圍。

　　企業(yè)為何必須重視

　　此類威脅后果嚴(yán)重：基于應(yīng)用的攻擊導(dǎo)致的數(shù)據(jù)泄露可能造成經(jīng)濟(jì)損失、監(jiān)管處罰及長(zhǎng)期聲譽(yù)損害。受嚴(yán)格合規(guī)要求約束的醫(yī)療、金融等行業(yè)風(fēng)險(xiǎn)尤甚。

　　Zimperium披露已識(shí)別超過(guò)4萬(wàn)款濫用私有授權(quán)的應(yīng)用及800余款調(diào)用私有API的應(yīng)用。其中雖可能存在合法的內(nèi)部工具，但多數(shù)實(shí)屬惡意。缺乏嚴(yán)格審核機(jī)制時(shí)，幾乎無(wú)法區(qū)分安全與危險(xiǎn)應(yīng)用。

　　強(qiáng)化應(yīng)用安全防護(hù)建議

　　Zimperium建議企業(yè)采取多層次防護(hù)策略：

　　嚴(yán)格應(yīng)用審核：在企業(yè)設(shè)備部署應(yīng)用前進(jìn)行靜態(tài)與動(dòng)態(tài)分析，識(shí)別權(quán)限濫用、API誤用或沙箱規(guī)避等可疑行為

　　權(quán)限監(jiān)控：拒絕功能與權(quán)限需求不匹配的應(yīng)用

　　側(cè)載應(yīng)用檢測(cè)：監(jiān)控第三方應(yīng)用商店使用情況——這是惡意軟件的常見(jiàn)傳播渠道

　　開(kāi)發(fā)者憑證分析：驗(yàn)證應(yīng)用來(lái)源并識(shí)別聲譽(yù)風(fēng)險(xiǎn)

　　此外，Zimperium移動(dòng)威脅防御(MTD，Mobile Threat Defense)平臺(tái)可自動(dòng)檢測(cè)側(cè)載應(yīng)用、系統(tǒng)入侵及行為異常，幫助及早發(fā)現(xiàn)威脅并阻斷惡意活動(dòng)擴(kuò)散。

　　未來(lái)防護(hù)方向

　　隨著攻擊者不斷找到繞過(guò)移動(dòng)安全的新方法，企業(yè)必須將重心從事后處置轉(zhuǎn)向事前分析。應(yīng)用審核不再可選，而成為保護(hù)移動(dòng)終端安全的關(guān)鍵環(huán)節(jié)。

　　面對(duì)TrollStore、SeaShell等活躍威脅，以及MacDirtyCow和KFD漏洞的持續(xù)濫用，移動(dòng)安全團(tuán)隊(duì)容錯(cuò)空間極小。Zimperium的警示十分明確：不要僅因應(yīng)用能在iOS運(yùn)行就輕信其安全性，必須清楚其功能、來(lái)源及行為模式。