Android 和 iOS 漏洞加剧移动安全的威胁

漏洞面临消亡

Adobe 公司在 2005 年收购 Flash，并大力推广应用使其一度是漏洞挖掘人员的研究焦点，根据图 3.4 的历史数据可以看到，2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后，更是给漏洞利用带来了通用的模板 ¹，但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制，Flash 漏洞利用的门槛被加 大了很多。
图 3.4 FLASH 历年漏洞数量
Flash 主要是通过 AVM2虚拟处理器来解析执行 ActionScript3 脚本，并将其编译为 SWF 文件。但 是 Flash 漏洞利用不能由单纯的 SWF文件完成，需要在浏览器
、Office、PDF中以插件的形式来完成攻击。 因此在实际攻击中 Flash 漏洞大都被嵌套在 Exploit Kit工具包中，常见的有 Angler、Nuclear Pack 以及 Neutrino。这些工具包具有对环境进行侦查的特性，在各种环境下都可以稳定利用，更新速度快，并加 入多种混淆手法来躲避安全软件的检测和拦截。攻击代码中通常将触发漏洞的 SWF 文件以 String 或者 ByteArray 的方式保存在变量中，然后通过 Loader 类的 loadBytes 方法来加载，或者通过内嵌二进制数 据来存储加密后的关键字符串、混淆的函数名称或者函数类等。2017 年 7 月，Adobe 宣布将在 2020 年底前逐步淘汰 Flash 插件，随后 Apple、Google、Microsoft 等厂商都对 Flash 采取了封杀机制，比如 Click-to-play 技术、沙盒技术。但是由于一些网站的适配支持、 不及时更新的浏览器和系统等原因，互联网
上的 Flash 应用并不会在短时间内完全消失，今后一段时间 内，Flash 漏洞并不能彻底消亡，还需继续关注。### 开源软件
面临漏洞利用和软件供应链的双重攻击开源软件具有开放、免费、功能灵活等特点，得到了越来越广泛的应用。通过公开源代码的行为， 可以让更多人投入到软件的开发和维护中，安全研究人员可以通过白盒测试的方法对其进行漏洞挖
掘。但是开源软件的安全问题仍然普遍存在。本文统计了常见开源软件的漏洞数量，除 Linux Kernel、 Chrome、Firefox 之外的排名如图 3.5 所示。
图 3.5 常见开源软件的漏洞数量
Web 框架及中间件也频频出现高危漏洞，包括无需身份认证的远程代码执行漏洞，比如 Apache、 Jenkins、Joomla、WordPress、Drupal 等，此类漏洞深受黑客团伙青睐，公开的利用代码在短时间内 被集成到成熟的攻击框架或木马程序中，进一步降低了漏洞利用的门槛，而从漏洞公布到被攻击者大规 模利用的时间窗口也在进一步缩短，给安全厂商防护能力带来了更大的挑战。
Mysql 数据库是目前使用最为广泛的数据库之一，存在各种拒绝服务、提权漏洞，攻击者借助漏洞 对数据库配置文件进行修改，获取数据库的 ROOT权限，进而窃取数据以达到勒索或其他目的。
通常情况下，软件功能的复杂度和出现安全问题的概率是正相关的，比如网络协议分析利器 Wireshark、图片文件处理工具 ImageMagick、多媒体框架 FFmpeg 等，拥有复杂的处理逻辑，并且广 泛使用，更容易成为研究员或者黑客的目标。
随着软件开源模式的兴起，除漏洞利用之外，针对软件供应链的攻击成为面向软件开发人员和供应 商的一种新兴威胁。软件供应链主要包含开发、交付、使用三个阶段，攻击者一旦对软件供应链中的任 意阶段进行攻击，都会引起软件供应链的连锁反应。2019 年 8 月，题为《杭州警方通报打击涉网违法
犯罪暨“净网 2019”专项行动战果》的文章披露了 phpStudy 存在“后门”。攻击者入侵 phpStudy 官 网后，通过在 php_xmlrpc.dll 文件中插入后门代码，重新打包后替换了官网中的原版软件包，加上第三 方下载站点也会受到污染，从而导致存在有后门的 phpStudy 广泛地传播开来。针对软件供应链的攻击 相当于给攻击者的恶意代码披上了“合法”的外衣，在传播速度上更快，影响范围更广，危害更大，同 时也更隐蔽。软件开发商应该制定软件供应链标准、规范，遵循安全的开发流程，定期组织软件供应链 攻防演练、竞赛，定期对自身网站、软件等进行检测与加固以减少受到此类攻击的风险。

和漏洞加剧移动安全的威胁

智能手机及其终端应用程序与我们的生活越来越紧密，囊括了通讯、支付、社交、出行等各种用途。 智能手机终端主要有 Symbian、Android 以及 iOS三类操作系统。
诺基亚的 Symbian 系统曾一度风靡，现有漏洞只有 2 个，CVE-2006-4464 和 CVE-2009-2538。主 要是由于在当时，系统的开放性还很低，手机的性能、功能还不足以实现复杂的交互操作，致使手机上 的应用很少，关注也不多。
Android 是由 Google 开发的基于 Linux内核的开源系统，市场份额大，基于 Android 的恶意软件迅 猛发展，系统漏洞的不断出现更是加剧了移动安全的威胁。根据 NVD统计到的 Android 相关的漏洞有 2902 个，历年漏洞数量如图 3.6 所示。
图 3.6 ANDROID历年漏洞数量
可以看到自 2009 年起漏洞数量呈现增长的趋势。2015 年 Android 系统漏洞整体呈现爆发式增长。 其中，Application Framework & Libraries 的漏洞总量达 130 个，同比上涨 1082%。2015 年 Android 的 系统漏洞量涨幅迅速，主要原因是移动安全得到了越来越多的研究人员的关注。2018 年 8 月 Google 发 布的 Android 9 中，为部分守护进程和内核引入了控制流完整性 CFI(Control Flow Integrity) 防护机制， 能够直接对抗常用 ROP/JOP/COOP 代码重用利用技巧。新的保护机制的引入和 Google 对 Android 系 统安全逐渐重视使得 2017 年后漏洞数量显著减少。
Linux内核层的漏洞是影响范围最广的漏洞之一，能导致系统高级权限的泄露，恶意程序利用这些 漏洞来提升自己权限从而肆意窃取数据。例如，CVE-2016-5195 脏牛 (Dirty COW)是 Linux内核的内存 子系统在处理写时拷贝 (Copy-on-Write) 时存在条件竞争漏洞，导致可以破坏私有只读内存映射。一个 低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限，有可能进一步导致权限提权。系 统架构层作为 Android 系统的主体，它的漏洞会给使用框架层接口的所有应用带来安全威胁。例如， CVE-2017-13288、CVE-2017-13315 共同点在于框架中 Parcelable 对象的序列化和反序列化不一致， 攻击者借此绕过安全软件对手机系统的保护，进一步攻击系统来获取更高的权限。第三方核心类库如 libc、SQLite、WebKit、SSL 等，在继承这些开源项目的同时也不可避免地继承了它们的漏洞。2019 年 10 月披露的 WhatsApp 远程 RCE漏洞（CVE-2019-11932）正是因为引入的用于处理 GIF图片的开源 库 Android-gif-Drawable 存在 Double-Free 漏洞导致。该 GIF开源库被大量安卓 APP 使用，全球范围内 43619 个使用该 GIF开源库开发的安卓 APP 可能受此漏洞影响 ²。
iOS是由 Apple 为其手机、平板、Watch 等智能设备量身打造的操作系统，自从 2007 年推出第一 代 iOS智能手机以来，在移动市场的规模快速增长。该系统由于硬件与软件高度集成，一向以安全著称。 攻击者想要获取操作系统的最高权限，就必须对设备进行越狱，而越狱需要依靠安全漏洞。iOS系统相 关的漏洞共 1862 个，历年漏洞数量如图 3.7 所示。
图 3.7 IOS 系统历年漏洞数量
2015 年 iOS 系统漏洞呈现爆发式增长，全年漏洞总量达 369 个，同比上涨 156.25%，例如， 用 于 iOS 9 越 狱 的 CVE-2015-6974 漏 洞，CVE-2015-7037 Photos 沙 盒 逃 逸 漏 洞，CVE-2015-7084 IORegistryIterator 内核漏洞等。增长的主要原因是关注 iOS安全的研究人员变多，很多以前被忽略的系 统攻击被发现并从中找到了漏洞提交给 Apple 修复。近 2 年来 Apple 应用的漏洞利用有个大幅度的提升。 2019 年 8 月 Google 安全团队公布了 5 个漏洞利用链及相关联的 14 个安全漏洞 1，涉及从 iOS 10 到最 新版本 iOS 12 的所有版本，这无疑为其他攻击者提供了一个很好的着手点，对 iOS系统的安全性提出 了巨大的挑战。

安全堪忧的设备

物联网技术的成熟加速了智能家居的发展，接入网络的 IoT 设备数量和总类越来越多，从摄像头、 路由器到电视机、空气净化器、扫地机器人、空调、热水器等都接入了网络。据市场研究公司 Gartner 称， 2016 年全球物联网设备数量为 64 亿，2020 年将达到 204 亿 2，增长 218.75%。但是设备制造商并不
太关心设备的安全性，防御措施少，很最容易被攻击者利用。表 3.1 给出了 2019 年物联网漏洞利用数 量前 10 的漏洞信息。
表 3.1 TOP10 物联网漏洞利用数量
CVE ID 漏洞信息
其中 CVE-2015-2051、CVE-2017-17215、CVE-2014-8361 这三个漏洞都与 UPnP 协议有关。UPnP 是由通用即插即用论坛制定的一套基于 TCP/IP 的网络协议，它使用 SSDP 协议来发现其他可用的设备 和服务，使用 SOAP协议实现对设备的控制。根据绿盟科技 2019 年物联网安全年报 1，SOAP 服务可访 问的设备占 UPnP 设备总量的 46.9%，这些设备中，61% 的设备存在中危及以上的漏洞，攻击者可以通 过漏洞获取对这些设备的完全控制权，或利用漏洞发动攻击使设备崩溃。
已经监测的漏洞利用所对应目标设备以路由器和频监控设备为主。路由器作为智能家居的中心， 连接着各种智能设备，是各种设备联网的基础，很容易成为黑客攻击其他设备的跳板。频监控设备被 攻破则可以用于监其拥有者，让隐私暴露无遗，甚至会被敲诈勒索。这些安全问题主要来源于两点， 一是由于大多数的固件在出厂时就存在弱口令、甚至无需口令校验的问题，这种不安全的固件配置大大 提高了攻击者的攻击效率。二是固件所调用的第三方组件的漏洞甚至是操作系统内核漏洞不能够及时追 踪修复。
面对物联网的威胁，设备制造商应当重设备的安全，指定安全的开发流程，对设备进行全面的安 全测试，对于默认密码的问题，应当在用户第一次使用的时候强制让用户修改密码，并检查用户密码的 安全性，禁止设置弱密码。对使用周期较长的设备，定期提供可更新的固件，以确保设备的安全性。

结论

结论
软件及其系统中的漏洞是导致信息安全问题的根源所在，如何减少安全漏洞已经成为了信息安全从 业人员的热门话题。目前看来，这一愿景与漏洞数量逐年增长的趋势相悖。
安全是一个攻与防的过程，未知攻焉知防，只有在了解了各种攻击技术和手段后才能采取更加有效 的防御策略，从而避免安全事件的发生。软件开发人员不仅需要具有熟练的编程技巧，还要拥有一定的 攻防知识才能开发出相对安全的代码，并将安全属性融入到软件的开发过程中，从源头上尽量减少漏洞 的产生