作者馬超

負(fù)責(zé)編寫

日落

封面圖。 CSDN付費(fèi)從Vision China

下載| CSDN（ID：csdnnews）

4月28日，Google的項(xiàng)目零信息安全團(tuán)隊(duì)宣布了它在Apple映像I / O中發(fā)現(xiàn)的一些錯(cuò)誤。映像I / O庫是IOS，Mac OS，watch OS和tvos共享的多媒體庫 。 因此，谷歌暴露的這種缺陷幾乎影響了蘋果的每個(gè)主要平臺(tái)。 如果黑客利用這些漏洞，則很可能導(dǎo)致用戶遭受“零點(diǎn)擊”攻擊。 幸運(yùn)的是，蘋果在Google發(fā)布這些錯(cuò)誤之前已修復(fù)了這些錯(cuò)誤。

和此問題是由圖像I / O圖像格式解析器引起的。 我們知道黑客經(jīng)常攻擊圖像解析框架。 通過制作格式錯(cuò)誤的媒體文件，我們可以利用圖像解析程序的漏洞在目標(biāo)主機(jī)上執(zhí)行惡意代碼。

零日漏洞和項(xiàng)目零

我們知道，在信息安全社區(qū)中，常規(guī)團(tuán)隊(duì)將在漏洞修復(fù)后選擇打開漏洞，也就是說，當(dāng)漏洞打開時(shí)，威脅將不復(fù)存在。 “零日”漏洞對(duì)應(yīng)于正式渠道發(fā)布的漏洞，也稱為零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。 一般來說，在暴露安全補(bǔ)丁和缺陷的當(dāng)天，就會(huì)出現(xiàn)相關(guān)的惡意程序。 這種攻擊通常是突然的和破壞性的。 盡管

尚未出現(xiàn)大量的“零日漏洞”攻擊，但其威脅日益增長(zhǎng)。 例如，著名的勒索病毒wannacry使用的“永恒藍(lán)”就是典型的零日漏洞。 “永恒的藍(lán)”造成了150個(gè)國家和30萬用戶的招募，損失高達(dá)80億美元。 針對(duì)

的零日漏洞，Google啟動(dòng)了零項(xiàng)目計(jì)劃（官方博客：https：//google.projectzero.blogspot.com/），并表示：“我們的目標(biāo)是大幅減少針對(duì)性的網(wǎng)絡(luò)攻擊。我們將聘請(qǐng) 最佳，周到和實(shí)用的安全研究人員來改善整個(gè)Internet的安全性，并全力以赴地投入100％的時(shí)間和精力

Project Zero的陣容與夢(mèng)想團(tuán)隊(duì)一樣豪華，其團(tuán)隊(duì)成員包括新西蘭人Ben Hawkes 他在2013年發(fā)現(xiàn)了Adobe Flash和Microsoft Office中的大量漏洞，以及英國的“零日漏洞調(diào)查” Ormandy的英國著名專家TAVIS），成功破解了Google的Chrome操作系統(tǒng)的George Hotz和Brit Ian beer ，是一位神秘的瑞士黑客，他在Apple的IOS，OSX和Safari瀏覽器中發(fā)現(xiàn)了多個(gè)漏洞，其中大多數(shù)無法在Google總部辦公，并且使用專業(yè)的漏洞搜索工具來掃描目標(biāo)軟件 是，以便找到可能包含漏洞的系統(tǒng)和軟件設(shè)計(jì)。 根據(jù)目前的情況，零項(xiàng)目團(tuán)隊(duì)確實(shí)致力于減少整體Internet網(wǎng)絡(luò)攻擊，不僅專注于Google自己的產(chǎn)品線，而且還取得了出色的成就。 它已成功找到Windows記事本等多個(gè)高風(fēng)險(xiǎn)漏洞，并防止了Internet安全事件的發(fā)生。

為什么多媒體組件是黑客最喜歡的

在各種主流操作系統(tǒng)中，都會(huì)有自動(dòng)文件分類功能，用戶可以在文件瀏覽器中分類和瀏覽語音，視頻，圖片等。 這意味著操作系統(tǒng)將自動(dòng)解析任何新的多媒體文件，并且該解析操作不需要與用戶進(jìn)行交互，這就是將此類事件稱為“零點(diǎn)擊”漏洞的原因。 而且，多媒體解析類庫的代碼通常是跨平臺(tái)的，也就是說，其行為在每個(gè)操作系統(tǒng)中都是相同的。

擴(kuò)展全文

正是由于上述原因，使得多媒體解析類庫成為黑客最理想的攻擊點(diǎn)，因?yàn)樗麄兛梢栽谧銐蚨嗟南到y(tǒng)上運(yùn)行惡意代碼，甚至不需要與用戶進(jìn)行交互。 黑客要做的就是找到一種方法，將格式錯(cuò)誤的多媒體文件發(fā)送到設(shè)備，并等待文件被處理，直到觸發(fā)漏洞代碼。 在當(dāng)今互連的世界中，交換圖像和視頻是最常見的用戶交互之一。 因此，在SMS，電子郵件或社交通訊發(fā)送的圖像中隱藏惡意代碼是一種非常隱蔽且有效的攻擊方法。 圖像I / O是

漏洞的主要特征，是Apple設(shè)備中使用的Apple圖像解析和處理類庫。 由于圖像I / O在Apple應(yīng)用程序生態(tài)系統(tǒng)中的核心作用，因此它是危險(xiǎn)的攻擊面。 它實(shí)質(zhì)上為任何攻擊者提供了零命中的入侵媒體，因此需要盡可能確保安全性。 Google Project Zero小組的

成員介紹說，由于Apple未打開圖像I / O源代碼，因此他們使用模糊技術(shù)來測(cè)試圖像I / O如何處理格式錯(cuò)誤的圖像文件。 模糊過程為圖像I / O提供了意外的輸入，以便在框架代碼中檢測(cè)異常和未來攻擊的潛在入口點(diǎn)。 最終，項(xiàng)目零團(tuán)隊(duì)在映像I / O中發(fā)現(xiàn)了六個(gè)漏洞，并在另一個(gè)與映像I / O集成的開源庫openexr中找到了八個(gè)其他漏洞。但是，Google并未驗(yàn)證這些漏洞是否可用于獲得最高的許可。 設(shè)備，因?yàn)檫@不是他們工作的目的。 但是我相信這些漏洞中必須存在最高級(jí)別的安全缺陷。 但是，零項(xiàng)目團(tuán)隊(duì)成員也警告說，由于缺乏可見性和對(duì)框架源代碼的訪問，他的工作很可能是不完整的。 當(dāng)前發(fā)現(xiàn)的漏洞僅是暴露imageI / O和其他Apple圖像以及多媒體處理組件問題的開始。 這些圖像類庫對(duì)非法黑客非常有吸引力。 如上所述，圖像的類型漏洞可用于創(chuàng)建“零點(diǎn)擊”攻擊。 目前，避免

的最簡(jiǎn)單方法是拆分映像I / O。例如，在stagefright漏洞爆發(fā)后，Google拆分了MediaServer類庫并授予了不同的訪問權(quán)限保護(hù)，這使得攻擊更難實(shí)現(xiàn)。 當(dāng)然，直接使用Android的MediaServer類庫對(duì)于蘋果來說可能是個(gè)好方法。 隨著越來越多的全球間諜軟件和監(jiān)視軟件供應(yīng)商，黑客正在尋找一種簡(jiǎn)單有效的方法來銷毀系統(tǒng)，而圖像解析類庫則提供了最方便的方法。 根據(jù)作者的觀察，就信息安全而言，紅方占主導(dǎo)地位的情況正在緩慢變化。 因此，該行業(yè)還需要高度重視安全性的新趨勢(shì)，以防止IT行業(yè)發(fā)生勒索病毒的悲劇。