蜗牛派蜗牛派消息,谷歌的精英突破搜索团队项目Zero发现并发现了可能影响苹果多个操作系统的零点击拆分,他们在苹果的图片I / O中发现了6个突破,在OpenEXR中发现了另外8个进攻。
在任何操作系统中,多媒体处理组件都是当前最危险的攻击面之一。
当到达管理多媒体文件时,所有操作系统的工作方式都是一样的。任何到达设备的新多媒体文件-图像,音频,视频-都会自动传输到本地操作系统库中,该库会解析该文件,以了解它是什么以及下一步该如何处理它。
从攻击者的角度来看,多媒体处理组件中的错误是理想的攻击面,因为它们能够在远程设备/操作系统上运行代码,而不需要任何用户交互。
攻击者所要做的就是找到一种将格式错误的多媒体文件发送到设备的方法,等待文件处理完成,触发利用入侵进行攻击的代码。
因此,将恶意代码隐藏在通过SMS,电子邮件或聊天(IM)消息发送的图像中是攻击目标而不会发出警报的简单方法。
由于所有这些原因,多媒体处理组件中的突破是当前最受黑客欢迎的安全缺陷之一,因为它们允许静默,零点击,无用户交互的入侵方式。
谷歌的Image I / O研究
在今天发布的一份报告中,谷歌的精英突破搜索团队项目零表示,他们研究了苹果的一个多媒体处理组件,对于任何需要悄悄入侵苹果用户数据的黑客来说,这最有可能是一个有吸引力的攻击面。
更完善,Project Zero的研究人员研究了Image I / O,这是一个内置于所有苹果操作系统中的框架,其任务是解析和处理图像文件。
该框架附带了iOS,MacOS,twOS和watchOS,在这些操作系统上运行的大多数应用程序都依赖它来处理映像元数据。
由于Image I / O在整个苹果应用生态系统中都扮演着核心角色,因此它是一个危险的攻击面,本质上为任何攻击者提供了零点击入侵的可能,需要尽快地进行安全修复。
发现6个突破+另外8个突破
Project Zero Team表示,他们使用了一种称为“模糊”的技术来测试Image I / O如何处理格式错误的图像文件。
模糊过程为Image I / O提供意外输入,以检测框架代码中的异常和潜在的未来攻击入口点。
研究人员说,他们在Image I / O [1,2,3,4,5,6]中发现了6个漏洞,在OpenEXR中发现了另外8个漏洞,OpenEXR是一个用于解析EXR图像文件的开源库,它作为第三方组件随图片I / O一起发布。
谷歌表示,他们开发的这两个突破和概念验证代码都不能使用接管设备,但他们没有调查此事,因为这不是他们工作的目的。
项目零团队的安全专家塞缪尔-格罗伯(Samuel Gro«)说:“很可能,只要付出足够的努力(以及通过自动重启服务而允许的攻击尝试),某些已发现的破坏就可以可以在零点击攻击场景中被用作RCE [远程代码执行]。”
这六个图片I / O突破在1月和4月份得到了了安全更新,而OpenEXR错误在v2.4.1中得到了修补。
需要对苹果的零点击攻击面进行更多研究
然而,格罗伯表示,他的团队的发现应该只是对Image I / O和苹果其他图像和多媒体处理组件进行更多研究的开始。所有这些组件都是黑客针对苹果用户和设备发起零点击攻击的一个实力的攻击面。
格罗伯说,苹果未来应该采取的首要步骤是继续他对Image I / O代码的模糊研究,因为他的研究工作很可能不彻底,因为他无法访问框架源代码。
“在任何情况下,彻底的模糊研究最好由具有源代码访问权的维护人员执行。”格罗伯说。
从长远来看,苹果还可以实施更复杂的解决方案。格罗伯说,最简单的是让应用程序开发者能够通过Image I / O限制他们的应用程序可以处理的图像格式的类型,这是一项安全功能,可以从一开始就防止外部来图像文件格式向图像I / O传递恶意代码。
从长远来看,苹果还应该考虑支持其其他多媒体处理组件,就像谷歌和Mozilla分别为Android和火狐维护的那样。
例如,在发现Stagefright突破后,谷歌将MediaServer组件分解成更小的库,由不同的访问权限进行保护,从而整个设备更难实现妥协。
同样,当Mozilla开始将Rust代码集成到火狐中时,它用其安全第一的编程语言重写的第一个组件是其多媒体处理替代,这恰恰表明了该组件对火狐的整个安全模型有多么重要。
随着世界各地间谍软件和监控软件供应商的数量不断增加,其中许多公司现在都在寻找入侵苹果系统的简单方法,目前而言,多媒体处理库提供了最明显的入侵方式。
