谷歌爆苹果 Image I/O 存重大漏洞，无辜用户躺枪

4月28日，谷歌旗下的Project Zero信息安全团队公布了其在苹果公司的Image I/O 中发现的一些bug。Image I/O库是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒体库，因此谷歌曝光的这一缺陷，几乎影响苹果的每一个主要平台。如果黑客利用这些漏洞加以攻击，那么很可能导致用户遭遇“零点击”攻击事件。不过值得庆幸的是在谷歌公布这些漏洞之前，苹果已经对其进行了修复。

而该问题又是Image I/O图像格式解析器所造成的，我们知道黑客经常对于图像解析框架进行攻击，通过制作畸形的媒体文件，可以利用图像解析程序存在的漏洞，在目标主机上执行恶意代码。

零日漏洞与Project Zero

我们知道在信息安全界，正规的团队都会选择在漏洞修复之后，再对漏洞进行公开，也就是漏洞公开时，其威胁已经不存在了。而“零日漏洞”(zero-day)则与这种正规渠道公布的漏洞相对应，也称零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

虽然还没有出现大量的“零日漏洞”攻击，但其威胁日益增长，比如之前著名的勒索病毒WannaCry所利用的“永恒之蓝”就是一个典型的零日漏洞，“永恒之蓝”造成150个国家、30万名用户中招，损失高达80亿美元。

而为了应对零日漏洞，谷歌推出了Project Zero计划（官方博客：https://googleprojectzero.blogspot.com/），并表示：“我们的目的是为了大幅减少有针对性的网络攻击。我们会聘请最好的、有想法且具备实践能力的安全研究人员来改善整个互联网的安全，并为之付出其100%的时间与精力。

Project Zero的阵容，有如“梦之队”一般的豪华。其团队成员包括曾在2013年发现存在于AdobeFlash及微软Office中大量漏洞的新西兰人本·霍克斯（Ben Hawkes）、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪（Tavis Ormandy）、成功破解谷歌Chrome操作系统的乔治·霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特·伊恩·贝尔（Brit Ian Beer）等等。他们大多数都可以不在谷歌总部办公室办公，并使用专业的漏洞查找工具对目标软件进行扫描，从而发现有可能包含有漏洞的系统、软件设计。从目前的情况看Project Zero团队的确是致力于减少整体互联网的网络攻击，而并不仅将眼光局限于在谷歌自有的产品线，而且目前战功卓越，已经成功发现了如Windows记事本等多个高危漏洞，并阻止了互联网安全事件的发生。

为什么多媒体组件是黑客最爱

在目前各类主流的操作系统当中，都会有文件的自动分类功能，用户可以在文件浏览器中对于如声音、视频、图片进行分类浏览。这也就是说任意一个新多媒体文件，都会自动地被操作系统解析，而这个解析操作是不需要与用户进行交互的，这也是此类事件被称为“零点击”漏洞的原因。而且多媒体解析类库，代码一般跨平台的，也就是其行为在各个操作系统相同。

正是由于以上原因，使得多媒体解析类库成为黑客最理想的攻击点，因为它们能够在足够多数量的系统上运行恶意代码，甚至不需要与用户交互。黑客所要做的就是找到一种方法，将格式错误的多媒体文件发送到设备，等待文件处理，直到漏洞代码触发。在当今互联的世界中，交换图像和视频是最常见的用户交互之一。因此，将恶意代码隐藏在通过短信、电子邮件或社交发送的图像中，是非常隐蔽而且高效的攻击方法。

本次漏洞的主角Image I/O，就是苹果用于Apple 设备中的图像解析处理类库。由于其在 Apple 应用生态系统中的核心角色，Image I/O 是一个危险的攻击表面，它本质上为任何攻击者提供零点击入侵媒介，所以需要尽可能保证安全。        

谷歌Project Zero团队成员介绍，由于苹果并未开放Image I/O源码，因此他们使用了模糊技术，来测试Image I/O如何处理格式错误的图像文件。模糊过程为Image I/O提供意外输入，以便检测框架代码中未来攻击的异常和潜在入口点，最终Project Zero团队在ImageI/O中发现了6个漏洞，在Image I/O集成的另一开源库OpenEXR中，发现了另外8个漏洞。不过谷歌并没有验证这些漏洞能否被用来获取设备的最高权限，因为这不是他们工作的目的。但笔者相信这些漏洞中，肯定存在最高级别的安全缺陷。

然而Project Zero团队成员也警告，由于缺乏可见性和对框架源代码的访问，他的工作很可能不完整。目前发现的漏洞应该仅仅是对ImageI/O和其他苹果图像与多媒体处理组件问题暴露的开始，这些图像类库对于非法黑客来说，极具吸引力，正如前文所述有关图像的类型漏洞，都可以用于创造“零点击”攻击。

目前最简单的规避方法，是将Image I/O 进行分拆，比如在 Stagefright 漏洞暴发后，Google就将MediaServer 类库进行了拆分，并授予不同访问权限的保护，使攻击更难实现，当然直接使用安卓的MediaServer类库，可能对于苹果来说也是个不错的办法。 

后记

随着全球间谍软件和监控软件供应商数量的增加，黑客们都在寻找破坏系统的简便、高效方法，而图像解析类库则提供了其中最为便捷的方式。正所谓魔高一迟，道高一丈，据笔者观察，在信息安全方面，红方占优的情况，正发生着慢慢的变化，因此还需要业界高度重视安全方面的新动向，以防勒索病毒的悲剧在IT界发生。

更多精彩推荐
☞AI 世界的硬核之战，Tengine 凭什么成为最受开发者欢迎的主流框架？
☞说了这么多 5G，最关键的技术在这里
☞360金融新任首席科学家：别指望AI Lab做成中台
☞AI图像智能修复老照片，效果惊艳到我了
☞程序员内功修炼系列：10 张图解谈 Linux 物理内存和虚拟内存
☞当 DeFi 遇上 Rollup，将擦出怎样的火花？
你点的每个“在看”，我都认真当成了喜欢

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/