朱易翔，張慷，王渭清

（1.移動互聯(lián)網系統(tǒng)與應用安全國家工程實驗室，上海 201315；2.中國電信股份有限公司上海研究院，上海 200122；3.中國電信股份有限公司上海分公司，上海 200120；4.中國電信集團公司，北京 100033）

iOS惡意應用分析綜述

朱易翔1,2，張慷3，王渭清4

（1.移動互聯(lián)網系統(tǒng)與應用安全國家工程實驗室，上海 201315；2.中國電信股份有限公司上海研究院，上海 200122；3.中國電信股份有限公司上海分公司，上海 200120；4.中國電信集團公司，北京 100033）

介紹了iOS的安全架構和應用程序的分發(fā)模式，分析了iOS平臺上惡意應用程序對用戶數據安全和隱私構成的威脅，討論了iOS上惡意應用少于Android系統(tǒng)惡意應用的原因，總結了已出現(xiàn)的iOS惡意應用的攻擊方法，并對未來的緩解和對抗策略進行了展望。

iOS安全；惡意代碼；惡意應用

1 引言

隨著移動互聯(lián)網的迅速普及，移動設備的各種安全問題日益突出。移動智能終端惡意軟件、用戶敏感信息泄露及未授權訪問等各種類型的安全威脅給移動互聯(lián)網用戶帶來了極大的困擾。手機惡意軟件對終端用戶的侵擾已泛濫成災，這對廣大手機網民的財產和隱私信息安全構成危害。中國互聯(lián)網絡信息中心報告顯示[1]，超過半數的手機網民遭遇過惡意扣費、惡意強制聯(lián)網、竊取隱私信息、惡意傳播和破壞等惡意行為。手機惡意軟件及隱私泄露已造成大規(guī)模的不良影響，引起社會廣泛關注。

谷歌Android和蘋果iOS是兩類主流的移動設備操作系統(tǒng)，二者占據巨大的市場份額。針對Android系統(tǒng)的惡意應用已經出現(xiàn)爆發(fā)式增長的問題，學術界和工業(yè)界也推出了各種檢測、防護與分析技術和安全產品。與Android系統(tǒng)緊迫的安全形勢不同，在很長時間里并未大規(guī)模出現(xiàn)針對iOS系統(tǒng)的惡意應用。因此很多用戶都認為iOS系統(tǒng)的安全性優(yōu)于Android系統(tǒng)。

本文將介紹iOS系統(tǒng)的安全架構和應用程序的分發(fā)模式，分析iOS平臺上惡意應用程序對用戶數據安全和隱私構成的威脅，討論iOS系統(tǒng)惡意應用少于Android系統(tǒng)惡意應用的原因，總結已出現(xiàn)的iOS惡意應用的攻擊方法，展望未來的緩解和對抗策略。

2 iOS安全架構背景

2.1 iOS版本歷史與主要安全機制演進

iOS的最初名稱是iPhone OS，由第一代iPhone設備于2007年6月搭載發(fā)布。隨后蘋果公司對iPhone OS不斷升級。2010年6月，隨著iPhone 4的發(fā)行，蘋果公司正式將移動設備上的操作系統(tǒng)簡稱為 iOS并發(fā)布了iOS 4.0。此后，隨著硬件型號的不斷升級、新功能特性的引入以及安全漏洞補丁的發(fā)布，iOS系統(tǒng)也一直在頻繁升級，目前最新的正式發(fā)行版是iOS 10.2。

iPhone OS的最初版本（1.x系列）并未將安全機制作為重點，沒有引入任何漏洞攻擊緩解方案，而且所有進程以root身份運行。但是，隨著iPhone OS 2.0的發(fā)布，蘋果引入了App Store（應用商店）的應用程序發(fā)布形式，即第三方應用程序的發(fā)布、下載只能通過蘋果官方的應用商店。為了支持該特性，蘋果公司在iPhone OS 2.0中加入了強制代碼簽名機制。通過強化內核中內存訪問和管理機制，iPhone OS 2.0不允許應用程序分配或使用同時可執(zhí)行和可寫的內存頁面，并加強對可執(zhí)行頁面的安全檢查，確保所有可執(zhí)行頁面被可信證書簽名保護。

此后，硬件的升級為引入更多安全機制創(chuàng)造了條件。iOS 4.3中引入地址空間布局隨機化 （address space layout randomization，ASLR），該策略已被其他各主流操作系統(tǒng)廣泛應用。這種機制確保程序運行時的內存布局（代碼位置、棧位置以及堆數據）對遠程攻擊者的不可預測性，從而顯著增加了漏洞利用的難度。iOS 6中引入了內核地址空間布局隨機化 （kernel address space layout randomization,KASLR），從而確保內核執(zhí)行空間的隨機性。iOS 7中開始啟用touch ID，允許用戶在64 bit的設備上通過指紋解鎖設備。iOS 8中引入了開發(fā)者身份（team ID）驗證，確保蘋果自身開發(fā)的程序與第三方開放的動態(tài)鏈接庫隔離。在iOS 9和最新的iOS 10中，蘋果已經采用基于TrustZone的內核完整性保護機制，確保內核可執(zhí)行頁面不可被永久篡改。iOS主要安全機制發(fā)展過程[2]如圖 1所示。

圖1 iOS主要安全機制發(fā)展過程

此外，iOS繼承了UNIX操作系統(tǒng)的權限管理和用戶隔離機制，并且定制了嚴格的沙盒（sandbox）規(guī)則，基于硬件實現(xiàn)數據加密。蘋果基于硬件保護機制確保機器啟動過程的完整性，而且將操作系統(tǒng)的內核文件加密保存。在版本控制上，iOS采用更為嚴格的機制：設備不能降級安裝低版本的iOS操作系統(tǒng)。該策略使得iOS設備一旦升級后就只能停留在當前或最新版本，有效避免了操作系統(tǒng)版本碎片化問題，減少了已公開漏洞的影響范圍。

2.2 iOS應用程序分發(fā)機制

蘋果公司于2008年7月推出應用程序分發(fā)和下載平臺應用商店。終端用戶可以通過應用商店搜索、發(fā)現(xiàn)、下載和購買各種應用程序。第三方開發(fā)者可以通過參加蘋果開發(fā)者計劃向應用商店提交應用程序并在應用商店上發(fā)布。根據蘋果公司公布的數據，應用商店上已有140萬個以上的應用程序，總下載量達千億次[3]。

由于iOS設備上嚴格的代碼簽名機制，第三方開發(fā)者必須通過參加蘋果開發(fā)者計劃獲得蘋果公司簽名的開發(fā)證書后，才能在物理機上運行、調試自己開發(fā)的應用程序。目前蘋果公司推出3種開發(fā)者賬號：個人賬號、企業(yè)賬號和教育賬號。個人賬戶開發(fā)者證書一年內最多只能在100臺物理機上有效，而企業(yè)賬號證書則沒有這個限制。教育賬號是蘋果公司為了鼓勵和吸引高校更多地參與到蘋果開發(fā)者的計劃中而特意推出的一項計劃，高校計劃具有在真機上開發(fā)、調試等權限，但不能將App發(fā)布到蘋果應用商店。

第三方應用程序在應用商店上架前，必須經過蘋果公司的審計。在審計過程中，蘋果公司要進行內容審核、功能穩(wěn)定性審核以及檢查應用程序是否含有惡意功能。對于已上架的應用程序，蘋果公司可以隨時將其下架。

應用商店上的第三方應用由蘋果公司簽名，并且通過未公開的數字版權管理（digital right management，DRM）技術加密程序的可執(zhí)行代碼。此外，從應用商店上下載的應用程序，如果未經過購買者賬戶（Apple ID）的授權，依然不能直接在物理機上運行。換言之，蘋果公司基于代碼簽名機制和DRM保護機制，嚴格保護應用商店上應用程序的安全。

2.3 iOS越獄

由于iOS原生系統(tǒng)的封閉性和蘋果對iOS系統(tǒng)的強控制力，iOS系統(tǒng)的安全性遠強于其他系統(tǒng)。iOS系統(tǒng)采用了諸多嚴格的安全機制，如可信啟動鏈、代碼簽名、沙盒執(zhí)行環(huán)境、權限隔離和數據加密，這使得針對iOS系統(tǒng)的安全威脅總數遠低于針對Android系統(tǒng)的安全威脅總數。這也是“iOS平臺相對安全”慣性思維的由來。

然而iOS系統(tǒng)的封閉性也是被很多用戶一直詬病的地方。iOS設備的擁有者僅具有設備的使用權和有限的管理權。例如，iOS用戶只能從指定渠道下載App，無法獲得設備的root權限，無法更改系統(tǒng)的關鍵配置文件。這些特性使iOS設備更加安全，但也限制了第三方App的功能，影響了用戶的體驗效果。

從安全研究角度而言，iOS系統(tǒng)中加密的固件包和嚴格的沙盒訪問控制使得第三方安全人員很難對 iOS設備的內核和應用程序進行分析。對于應用商店上的第三方App，蘋果公司采用了一套復雜的DRM機制來加密這些程序的代碼段，只有當這些程序運行時才由內核解密這些代碼。這直接導致第三方安全人員無法對iOS平臺上的可執(zhí)行程序進行靜態(tài)分析。

自iOS系統(tǒng)發(fā)布起，很多安全人員一直致力于研究如何通過利用iOS設備硬件和軟件中的漏洞，突破iOS系統(tǒng)中的諸多限制，獲得對iOS設備的完全控制權，這就是越獄。越獄后，用戶可以獲得對文件系統(tǒng)的完全訪問，自主控制應用程序的安裝和卸載，從第三方App發(fā)布平臺獲取App，根據自己需求定制化系統(tǒng)配置。

通常而言，越獄的目的是為了突破iOS系統(tǒng)的限制，并不是完全破壞iOS系統(tǒng)所有的安全策略。越獄工具對iOS設備的改變很大，其中最為關鍵的兩點是禁用 iOS代碼簽名檢查和開放root權限。為了維持越獄設備的安全性，越獄工具通常不會破壞其他安全策略，如沙盒、ASLR、數據執(zhí)行保護（data execution protection，DEP）等。但是，由于越獄后用戶可以在設備上安裝運行任意代碼，這給安全帶來了很多隱患。

3 iOS惡意應用案例

iOS系統(tǒng)大規(guī)模普及后，很長時間內并未出現(xiàn)過大規(guī)模流行的惡意應用程序。對歷史上出現(xiàn)的典型iOS惡意應用和攻擊進行回顧分析，見表1，分類介紹并總結iOS惡意應用的發(fā)展趨勢。

表1 典型的iOS惡意應用和攻擊

3.1 針對越獄手機的惡意應用

由于越獄后的手機不再具備強制代碼簽名等安全機制，越獄后的設備成為大部分針對iOS惡意應用的首選目標。

（1）iKee[4]蠕蟲

最早出現(xiàn)的針對越獄設備的蠕蟲類型。很多用戶在越獄的 iOS設備上安裝 open SSH，但未能及時修改 open SSH的root賬號和密碼。iKee蠕蟲通過掃描open SSH端口、嘗試使用root賬號和默認密碼登錄就感染了大量越獄設備。設備一旦感染iKee蠕蟲，就會被加入某些僵尸網絡中，并進一步掃描周圍的IP地址進一步傳播iKee蠕蟲。

（2）AppBuyer[5]

隨著越獄設備的增多，在越獄應用商店Cydia中也不斷出現(xiàn)針對越獄iOS設備的惡意應用。AppBuyer是一款非常典型的惡意應用。首先，AppBuyer通過劫持越獄設備網絡通信的關鍵系統(tǒng)函數，獲取用戶的Apple ID和密碼，上傳至攻擊者控制的遠程服務器。其次，AppBuyer可以遠程下載并升級可執(zhí)行代碼等功能。此外，AppBuyer會模擬用戶在蘋果公司應用市場上購買應用程序的協(xié)議，以用戶的身份在應用商店上下載應用。與AppBuyer類似的惡意應用還有AdThief/Spad、Unflod等。AppBuyer等惡意應用通常都是通過第三方 Cydia軟件倉庫源分發(fā)惡意應用，欺騙用戶主動下載安裝，因此在傳播范圍上存在很大局限。

（3）WireLurker

在2014年USENIX Security年會上，研究人員預測通過個人電腦可以大規(guī)模感染iOS設備[6]。2014年11月，多個安全公司發(fā)現(xiàn)了真實案例。WireLurker[7]通過在Mac OS上的木馬應用程序，監(jiān)視USB端口，一旦有iOS設備接入，就進一步攻擊接入的iOS設備。WireLurker不僅可以攻擊越獄的 iOS設備，還能感染未越獄的 iOS設備。WireLurker收集大量用戶隱私數據，并且采用代碼混淆、加密等對抗性技術手段防止被分析。

3.2 針對非越獄手機的惡意應用

（1）SpyPhone[8]

早期的iOS版本（4.x版本）中的沙盒規(guī)則過于寬松，這導致沙盒內的應用程序可以直接訪問電話號碼、通訊錄、Safari搜索歷史、電子郵件賬戶、鍵盤緩存、照片、GPS以及Wi-Fi接入點。Nicolas Seriot在Blackhat DC 2010會議上展示了名為SpyPhone的普通應用程序獲取用戶敏感隱私數據，突出了 iOS沙盒規(guī)則問題的嚴重性。在SpyPhone之前，一家游戲公司Storm8在其旗下的多款iOS產品中收集用戶電話號碼。

（2）Mactans[9]

在iOS 7之前，個人電腦可以直接對接入的iOS設備進行應用程序的安裝或卸載、文件的備份或還原等操作。由于iOS設備完全信任個人電腦，引發(fā)了很多安全隱患。研究人員設計了一個針對iOS設備的特殊充電器，在USB接口上對iOS設備攻擊，實現(xiàn)隱私竊取、模擬用戶點擊、安裝隱藏應用程序、監(jiān)視用戶點擊等功能。

（3）Jekyll[10]

盡管蘋果公司會在第三方應用程序上架前進行安全檢查，研究人員證實這種檢查根本無法杜絕惡意的應用程序。名為Jekyll的惡意應用在自身代碼中設置基于漏洞觸發(fā)的后門，在不引入任何新的執(zhí)行代碼的情況下，在程序運行時重新組合已有功能片段實現(xiàn)各種惡意攻擊。

（4）XcodeGhost[11]

2015年9月爆發(fā)的XcodeGhost事件是迄今為止感染規(guī)模最大的iOS惡意應用。XCode是由蘋果公司發(fā)布的運行在操作系統(tǒng)Mac OS X上的集成開發(fā)工具，是開發(fā)OS X和iOS應用程序的最主流工具。由于XCode安裝包太大，從蘋果官方下載XCode經常失敗，因此很多開發(fā)者更傾向于從第三方站點下載XCode。攻擊者根據這種現(xiàn)象，通過對XCode安裝包進行篡改，加入惡意模塊，并通過各種社交媒體等渠道進行傳播，誘使大量開發(fā)者使用被污染過的版本建立開發(fā)環(huán)境。經污染過的XCode編譯iOS應用程序時，會植入額外的惡意邏輯，其中包括向攻擊者注冊的域名回傳若干加密信息，并包含偽造彈窗和遠程控制等功能。在XcodeGhost事件中，許多流行iOS應用被感染，其中包括微信、網易云音樂、12306、滴滴出行等，據不完全統(tǒng)計，在本次感染事件中中招的iOS用戶數高達1億戶。

（5）YiSpecter[12]

一款在中國被廣泛發(fā)現(xiàn)的iOS惡意應用。通過ISP流量、Windows SNS蠕蟲、離線應用安裝等傳播途徑，YiSpecter可以在iOS設備上安裝企業(yè)證書簽名的惡意應用，從而收集設備UUID、MAC地址等用戶隱私信息，并利用系統(tǒng)私有API特性替換已安裝的應用等，在合法應用內展示廣告、改變Safari默認搜索引擎、向遠程服務器上傳用戶信息。

（6）Pegasus/Trident[13]

阿聯(lián)酋的人權活動人士曼蘇爾于2016年8月10日與11日收到兩條聲稱含有囚犯在阿聯(lián)酋監(jiān)獄中遭到折磨的“秘密”短信，曼蘇爾覺得此事蹊蹺，于是把線索提供給了公民實驗室，公民實驗室依據鏈接順藤摸瓜，發(fā)現(xiàn)這是NSO Group針對曼蘇爾實施的APT（advanced persistent threat，高級持續(xù)性威脅）攻擊。該惡意代碼使用的就是被稱為iOS PEGASUS（又稱Trident三叉戟）的一組0day漏洞，包括CVE-2016-4657（Safari的Webkit內核上的內存破壞漏洞）和 CVE-2016-4655（內核信息泄露漏洞），可用于繞過KASLR和CVE-2016-4656（內核UAF漏），控制內核并執(zhí)行任意代碼。為了修復該漏洞，蘋果公司專門發(fā)布了一個iOS 9.3.5版本。該惡意代碼可以直接從沙盒內對內核進行攻擊（無需沙盒逃逸），并且同時影響 iOS（9.3.4）和 OS X（10.11.6）。

4 iOS 安全生態(tài)分析

綜上，iOS系統(tǒng)的惡意應用已經從針對越獄環(huán)境發(fā)展到越獄環(huán)境和非越獄環(huán)境兼顧的形態(tài)，從僅能小范圍感染發(fā)展到可以大規(guī)模傳播，并且展現(xiàn)出豐富的攻擊途徑，既包括官方的應用商店和越獄應用市場的第三方軟件安裝源，也包括惡意的物理外設（例如充電器），甚至涉及ISP層面流量劫持等。

同時，APT攻擊是當前網絡空間安全面臨的最嚴峻挑戰(zhàn)之一，隨著移動互聯(lián)網的飛速發(fā)展，智能移動設備已成為APT的重點攻擊目標。iOS系統(tǒng)是除Android系統(tǒng)外移動智能設備上使用最多的操作系統(tǒng)，毫無疑問也是APT攻擊的重點關注對象，iOS惡意應用也成為APT攻擊中重要的工具。iOS惡意應用所用到的攻擊技術，曾經以應用層漏洞利用為主流，隨著蘋果公司對iOS系統(tǒng)安全機制的不斷完善和對攻擊途徑的不斷封堵，當前直接攻擊系統(tǒng)接口和內核的漏洞利用也成為了重要的技術途徑，包括蘋果公司、APT攻擊者等黑色產業(yè)、越獄研究團隊、移動安全研究團隊在內的整個生態(tài)圈，都應對相關領域的漏洞發(fā)掘技術、漏洞利用技術、安全防范機制基于更多的持續(xù)關注。

5 結束語

面對各種層面針對iOS的高級攻擊和威脅，業(yè)界尚鮮有針對蘋果iOS的安全審計、檢測和分析平臺，與如火如荼的Android安全分析市場形成了鮮明對比。已有的針對iOS的安全分析工具仍停留在簡單的輔助人工分析階段。國內業(yè)界公司尚未在iOS平臺二進制分析系統(tǒng)上取得重大進展。學術界提出的各種原型系統(tǒng)很難對當前主流iOS系統(tǒng)上的應用程序實施有效分析。如何加強對蘋果應用商店上應用程序的安全審計并推動第三方獨立檢測平臺落地將成為下一階段的熱點。

[1]國家計算機病毒應急處理中心.第十四次全國信息網絡安全狀況暨計算機和移動終端病毒疫情調查分析報告[R]. 2015. NationalComputerVirusEmergencyResponseCenter.14thanalysis ofnationalsecuritysituationofinformationnetworkandinvestigation report on computer and mobile terminal virus[R].2015.

[2]iOS 9.3 or later.iOS security-white paper[S/OL].(2016-05-01)[2016-10-10].https：//www.Apple.com/business/docs/iOS_ Security_Guide.pdf.

[3]Apple’s app store has passed 100 billion app downloads[EB/ OL].(2016-06-08)[2016-10-10].http：//www.theverge.com/ 2015/6/8/8739611/Apple-wwdc-2015-stats-update.

[4]CHARLIE M,DION B,DINO D,et al.iOS hacker’s handbook[M]. NewYork：Wiley,2012.

[5]AppBuyer：new iOS malware steals apple ID and password to buy apps[EB/OL]. (2014-09-12)[2016-10-10].http：// researchcenter.paloaltonetworks.com/2014/09/APPbuyer-new-iosmalware-steals-Apple-id-password-buy-APPs/.

[6]WANG T,JANG Y,CHEN Y,et al.On the feasibility of large-scale infections of iOS devices[C]//The 23rd USENIX Security Symposium (Security),August 20-22,2014,San Diego,CA,USA.New Jersey：IEEE Press,2014：79-95.

[7]Wirelurker：a new era in iOS and os x malware[EB/OL].(2014-11-05)[2016-10-10].https：//www.paloaltonetworks.com/resources/ research/unit42-wirelurker-a-new-era-in-ios-and-os-x-malware. html.

[8]NICOLAS S.iPhone privacy[S/OL].(2012-04-07)[2016-10-10].http：//revenews.com/files/iPhonePrivacydoc.pdf.

[9]LAU B,JANG Y,SONG C,et al.Mactans：injecting malware into iOS devices via malicious chargers[C]//Black Hat USA,July 27-Aug 1,2013,Las Vegas,NV,USA.New Jersey：IEEE Press, 2013.

[10]WANG T,LU K,LU L,et al.Jekyll on iOS：when benign apps become evil[C]//Usenix Conference on Security,August 12-13, 2013,Washington D C,USA.New Jersey：IEEE Press,2013：559-572.

[11]安天實驗室.Xcode非官方版本惡意代碼污染事件（XcodeGhost）的分析與綜述[R/OL].(2015-09-20)[2016-10-10].http：//www.antiy.com/response/xcode/xcodeghost.pdf. Antian Laboratory.Analysis and review of Xcode unofficial version of the malicious code pollution incident(XcodeGhost) [R/OL].(2015-09-20)[2016-10-10].http：//www.antiy.com/response/ xcode/xcodeghost.pdf.

[12]YiSpecter：first iOS malware that attacks non-jailbroken apple iOS devices by abusing private APIs[EB/OL].(2015-10-04) [2016-10-10].http：//researchcenter.paloaltonetworks.com/2015/ 10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-

by-abusing-private-apis/.

[13]Pegasus-針對iOS設備的APT攻擊分析[EB/OL].(2016-08-26)[2016-10-10].http：//blog.pangu.io/pegasus-apt/. Pegasus-analysisofAPT attackson iOS devices[EB/OL]. (2016-08-26)[2016-10-10].http：//blog.pangu.io/pegasus-apt/.

Review of iOS malicious application analysis

ZHU Yixiang1,2,ZHANG Kang3,WANG Weiqing4
1.National Engineering Laboratory for Mobile Internet System and Application Security,Shanghai 201315,China 2.Shanghai Research Institute of China Telecom Co.,Ltd.,Shanghai 200122,China 3.Shanghai Branch of China Telecom Co.,Ltd.,Shanghai 200120,China 4.China Telecom Corporation,Beijing 100033,China

The security architecture and distribution of iOS were introduced.The threats to user’s data security and privacy from iOS malicious applications were analyzed.The reasons that the number of iOS malicious applications is less than Android malicious applications were discussed.The attacking methods of emerging iOS malicious applications were summed up.And prospect for future mitigation and confrontation strategies were given.

iOS security,malicious code,malicious application

TP309

A

10.11959/j.issn.1000-0801.2017048

朱易翔（1979-），男，中國電信股份有限公司上海研究院互聯(lián)網安全部副主任，負責移動互聯(lián)網系統(tǒng)與應用安全國家工程實驗室技術研發(fā)工作，主要研究方向為安全體系與架構、安全攻防與漏洞發(fā)掘、移動應用安全檢測等。

張慷（1969-），男，中國電信股份有限公司上海分公司信息網絡部經理、高級工程師，主要研究方向為信息安全管理、云安全。

王渭清（1980-），男，中國電信集團公司工程師，主要研究方向為信息安全管理、大數據安全。

2017-01-05；

2017-02-14