iOS也不安全？高危漏洞威胁近半果粉！

本篇文章4209字，读完约11分钟

编者按:你升级你的ios了吗？百度安全实验室的这项研究让《雷锋》的编辑大吃一惊。(公开号码:雷锋。com)满头冷汗！即使是近一半的国内ios设备仍被高风险漏洞困在旧系统中，这些公开的漏洞随时都有被黑客利用的危险。Ios经常在半夜升级，但是它总是因为缺少电力或者缺少充电电缆而失败。阅读本文后，请升级。

前言ios系统一直以其良好的安全性赢得用户的信任，尤其是其安全升级速度较安卓有明显优势。然而，根据百度安全实验室(Baidu Security Lab)对数亿个国内ios设备系统版本的统计，自7月19日ios 10.3.3发布至今已有50天，只有54%的用户升级到最新的ios 10.3.3系统，而剩下的近一半的国内ios设备仍停留在受高风险漏洞影响的旧系统中。即使是最新的iphone7系列机型，也有近32%的设备没有及时升级。然而，这些旧版本中许多高风险漏洞的利用方法已经公开，未升级的用户面临严重的安全风险。我们呼吁ios用户尽快升级，也呼吁手机制造商采用更有效的技术来保护普通用户，防止他们受到已知高风险漏洞的威胁。

近一半的国内ios用户面临高风险漏洞。安全实验室统计了中国数亿个ios设备的系统版本。排除虚假设备的干扰后，结果显示中国只有54%的设备升级到最新的ios 10.3.3系统。仍有将近一半的ios设备分散在剩下的44个不同的旧ios系统中。运行旧ios系统的这些设备将面临前一篇文章中列出的高风险漏洞带来的安全风险。

系统版本的详细分布如图1所示。从左半部分开始，最新的ios 10.3.3到4年前的ios 7在逆时针方向上按新旧版本的顺序排列。其中，最新ios 10.3.3系统占53.6%；ios 10的旧版本主要是10.3.2(占8.2%)和10.2.1(占6.2%)，10.2和10.1.1各占3%，其余7个旧版本占6.9%；超过18%的用户仍然使用ios 10之前的版本。ios 9发布两年，ios 8发布三年，分别占11.9%和6%。

此外，我们统计了主要模型类别的系统版本比率，结果如图2所示。从左到右，它们是iphone7系列(2016年9月发布)、iphone6s系列(2015年9月发布)、旧型号iphone、ipad pro系列和其他ipad系列。这五种设备型号在一定程度上是分散的。即使是最新的iphone7系列手机也没有升级到最新的10.3.3系统近32%。

图1。ios设备系统版本在中国的分布

图2。不同模型类别的系统版本分布

很多高风险漏洞已经被公开，影响到ios10.3.3之前的所有版本，每次新版本的ios系统发布时，新版本修复的一些漏洞的细节及其利用方法将被研究者公开，一些漏洞的完整代码也将被公开发布以供研究和交流。在为安全社区做出贡献的同时，它也为恶意攻击者提供了方便的攻击条件。恶意攻击者还可以从公共渠道获取相关的攻击代码，甚至通过点击链接获取内核权限，结合部分webkit攻击来完成完整的攻击。如果用户没有及时更新到最新的ios系统，他们将面临严重的安全威胁。

表1 .一些已发布的完全利用代码的一般利用统计

●三重提取漏洞(cve-2017-7047):它影响10.3.2之前的ios系统，并在特权用户模式进程(如launchd、coreauthd等)中实现任意代码执行。)攻击用户模式xpc通信反序列化机制的缺陷。完整的攻击代码已经公开。

● ziva系列内核漏洞:影响10.3.1之前的ios系统，通过攻击appleavedriver的逻辑缺陷获得内核许可。该攻击可以重用上面的三重提取漏洞来完成之前的沙盒转义，并且完整的攻击代码已经在github中公开。

● broadpwn wi-fi漏洞(cve-2017-6975):它影响10.3之前的ios系统。ios设备上的broadcom wi-fi芯片固件包含缓冲区溢出漏洞。攻击者可以通过网络直接攻击同一wi-fi热点中易受攻击的ios设备，并在受害者不知情的情况下在其他设备上运行恶意代码。

●mach _凭单内核漏洞(cve-2017-2370):它影响10.2之前的ios系统。通过攻击ios 10中新引入的马赫陷阱的缺陷，它可以获得内核空.之间的任意读写能力完整的攻击代码已经公开，这个漏洞也在yalu 10.2越狱工具中使用。

Ios升级和漏洞修复策略为用户提供了更多的安全和隐私保护策略，同时ios系统的漏洞也在逐年增加。由于ios系统没有热修复功能，用户只能通过升级系统来消除漏洞威胁。在过去的一年里，苹果先后发布了12个ios版本(当前版本号为10.3.3)，共修复了338个安全漏洞，包括30个内核漏洞和106个网络工具包代码执行漏洞。许多高风险漏洞已经被充分利用，可以直接获得系统的最高权限，严重威胁用户的安全。

自2016年9月发布以来，ios 10系统每两个月升级一次，每次升级平均修复数十个高风险安全漏洞。攻击者可以通过点击链接、访问恶意服务网络、安装应用程序等方式攻击系统。，并利用这些高风险漏洞获得系统的最高权限，从而达到窃取用户敏感信息、远程监控、有针对性攻击等目的。

苹果的开发者网站显示，自2016年9月发布以来，全球87%的ios用户已经升级到ios 10，但没有给出具体的版本分布。然而，如上所述，次要版本的不及时更新仍将构成严重的安全威胁。

表2 .iOS 10版本发布时间和修复漏洞数量统计

表2列出了包含安全更新、发布时间、间隔天数和修复的漏洞总数的ios版本的统计数据，并排除了ios10中没有安全更新的三个版本(10.0.2、10.0.3、10.1.1)。从表中计算，在正常情况下，ios系统将平均每46天更新一次，每次更新将平均修复34个漏洞。在某些特殊情况下，苹果还将选择在更短的时间内发布更新，以紧急修复个别高风险漏洞。例如，为了修复一些iphone 7/7plus预装ios 10系统中的高风险漏洞，ios10.0.1在ios10发布的同一天发布，并修复了三叉戟ios apt攻击(cve-2016-4655)中的内核信息泄露漏洞；在零项目正式发布博客泄露漏洞的详细信息的前一天，ios 10.3.1被发布以修复高通wi-fi芯片(cve-2017-6975)的任意代码执行漏洞。

除了计算每次安全更新修复的漏洞总数外，我们还分别计算了版本升级中修复的内核漏洞数(可用于获得系统的最高权限)和webkit代码执行漏洞数(可用于完成远程攻击):

●内核漏洞:包括许多不同类型的漏洞，如内核拒绝服务、内核信息泄露、内核代码执行等。一个完整的内核攻击通常是通过直接利用一个漏洞或结合多个内核漏洞来完成的。一旦该漏洞被成功利用，它将直接获得系统的最高权限来执行任意代码，攻击者将很容易获得用户的所有信息。如表2所示，定期版本升级几乎每次都会修复内核漏洞。

●webkit中的可执行漏洞:WebKit是ios浏览器的核心执行引擎，易受攻击，危害性很大。受害者可以通过点击链接远程攻击，而无需安装应用程序。如表3所示，与webkit代码执行相关的漏洞数量多于内核，通常会修复几十个漏洞。虽然漏洞的细节在ios安全更新指令中有模糊的描述，但许多漏洞可以通过开放渠道(如exploy-db)的cve号码获得poc。

表3 .统计每个版本修复的内核漏洞和webkit代码执行漏洞的数量

ios系统的安全生态正面临分裂。由于苹果的封闭策略，硬件严格控制运行ios的型号数量；就软件而言，只有当系统版本每年发布一次时，才会引入api变更。因此，从发展的角度来看，ios系统的发展生态面临的碎片化问题很少。

表4 .iOS迭代次数的统计

但是，如表4所示，过去四年发布的四个ios主要版本涵盖了45个次要版本的升级。这意味着，ios系统的每一次小版本升级和安全更新都会一次性切断整个ios安全生态系统的系统分布。每次迭代都会有一些剩余用户，只有不断升级到最新系统的用户才能最大限度地避免安全威胁。因此，从安全性的角度来看，ios安全生态系统也将面临碎片化的问题。

值得注意的是，ios系统升级需要苹果服务器验证，而服务器只允许ios系统升级到最新版本。这种升级策略可以在一定程度上防止用户停留在一些中间版本，缓解安全生态碎片化问题。

然而，实际统计结果显示，ios安全生态的碎片化仍然存在，用户选择不升级带来的安全风险不容忽视。

此外，我们还统计了自7月19日ios 10.3.3正式发布以来国内ios用户系统的升级趋势。如图3所示，ios 10.3.3主要来自于10.3.2的用户，这些用户有着良好的升级习惯，在得到新版本的通知后会及时升级系统。近80%升级系统的设备选择在新版本发布后三周内升级，然后整个升级趋势放缓。其他剩余的旧版本有少数用户选择升级，整体比例有轻微下降趋势，但大多数用户仍然选择留在旧系统。

图3。国内ios用户升级趋势

结论虽然苹果强制升级最新版本的策略在一定程度上缓解了安全生态的碎片化，但据实际统计，中国近一半的ios设备无法及时升级，安全生态的碎片化依然存在。Ios 11将在不久的将来正式发布。在提供新功能的同时，它还将修复大量的安全漏洞。建议用户在条件允许时及时升级到最新版本，以避免受到高风险漏洞的影响。与此同时，我们还呼吁手机制造商采用更有效的技术来保护普通用户，防止他们受到已知的高风险漏洞的威胁。

参考

[1]developer.apple/support/app-store/

[2]cvedetails/version-list/49/15556/1/apple-iphone-OS

[3]bugs.chromium/p/project-zero/issues/detail? id = 1247

[4] github/doadam/ziva

[5]bugs.chromium/p/project-zero/issues/detail? id = 1004

[6]bugs.chromium/p/project-zero/issues/detail? id = 965

[7]en.wikipedia/wiki/ios_version_history

雷锋原创文章。严禁擅自转载。详情请参考转载说明。