網(wǎng)絡(luò)安全公司Zimperium最新研究報(bào)告警示，iOS設(shè)備正面臨日益增長的威脅，尤其是來自未經(jīng)審核及側(cè)載（sideloaded）移動(dòng)應(yīng)用的風(fēng)險(xiǎn)。盡管iPhone通常被認(rèn)為具備先天安全性，但該公司的分析顯示，某些應(yīng)用能夠悄然繞過蘋果的防護(hù)機(jī)制，使用戶和企業(yè)暴露在風(fēng)險(xiǎn)之中。

這份基于真實(shí)事件和主動(dòng)威脅研究的報(bào)告指出，攻擊者正越來越多地通過權(quán)限提升、濫用私有API（Application Programming Interface，應(yīng)用程序編程接口）以及完全繞過蘋果應(yīng)用審核流程的側(cè)載漏洞等手段針對iOS系統(tǒng)發(fā)起攻擊。

可信設(shè)備中的隱形風(fēng)險(xiǎn)

移動(dòng)設(shè)備已成為企業(yè)運(yùn)營的核心工具。然而Zimperium指出，多數(shù)企業(yè)仍忽視了一個(gè)最常見的安全薄弱環(huán)節(jié)：第三方應(yīng)用，尤其是那些非官方App Store來源的應(yīng)用。

即使是看似無害的應(yīng)用也可能濫用權(quán)限或攜帶隱藏惡意代碼。例如，手電筒應(yīng)用若要求獲取通訊錄或麥克風(fēng)訪問權(quán)限，可能不會(huì)立即引發(fā)懷疑，但Zimperium強(qiáng)調(diào)此類請求可能導(dǎo)致敏感數(shù)據(jù)外泄或系統(tǒng)淪陷。

第三方應(yīng)用商店和側(cè)載應(yīng)用風(fēng)險(xiǎn)更高。這些應(yīng)用繞過了蘋果的安全檢查，可能利用未公開的系統(tǒng)特性或植入有害組件，悄無聲息地追蹤用戶或訪問企業(yè)系統(tǒng)。

現(xiàn)實(shí)攻擊案例：TrollStore、SeaShell與MacDirtyCow

報(bào)告重點(diǎn)列舉了攻擊者成功利用iOS漏洞的多個(gè)實(shí)際案例：

(1) TrollStore利用蘋果CoreTrust和AMFI模塊的已知漏洞，通過修改授權(quán)（entitlements）實(shí)現(xiàn)應(yīng)用側(cè)載。這些通常僅限于系統(tǒng)級功能的授權(quán)，可使應(yīng)用繞過沙箱機(jī)制或悄無聲息地監(jiān)控用戶。

通過TrollStore分發(fā)的應(yīng)用常偽裝成無害工具，實(shí)則可能秘密訪問系統(tǒng)日志、錄制音頻或連接外部服務(wù)器，為完全控制設(shè)備打開方便之門。

(2) SeaShell作為公開可獲取的漏洞利用后（post-exploitation）工具，基于該技術(shù)實(shí)現(xiàn)遠(yuǎn)程控制被入侵iPhone。攻擊者能通過安全連接提取數(shù)據(jù)、維持持久化訪問及操控文件。Zimperium已監(jiān)測到通過非官方渠道傳播的SeaShell惡意軟件樣本。

(3)MacDirtyCow（CVE-2022-46689）則利用iOS內(nèi)核中的競態(tài)條件（race condition）臨時(shí)修改受保護(hù)系統(tǒng)文件。雖然修改在重啟后失效，但已足夠篡改iOS權(quán)限或繞過限制。新近出現(xiàn)的KFD漏洞采用類似手法針對更新版iOS系統(tǒng)。

這些案例共同表明，攻擊者能在用戶毫無察覺的情況下，將訪問權(quán)限提升至遠(yuǎn)超授權(quán)范圍。

企業(yè)為何必須重視

此類威脅后果嚴(yán)重：基于應(yīng)用的攻擊導(dǎo)致的數(shù)據(jù)泄露可能造成經(jīng)濟(jì)損失、監(jiān)管處罰及長期聲譽(yù)損害。受嚴(yán)格合規(guī)要求約束的醫(yī)療、金融等行業(yè)風(fēng)險(xiǎn)尤甚。

Zimperium披露已識(shí)別超過4萬款濫用私有授權(quán)的應(yīng)用及800余款調(diào)用私有API的應(yīng)用。其中雖可能存在合法的內(nèi)部工具，但多數(shù)實(shí)屬惡意。缺乏嚴(yán)格審核機(jī)制時(shí)，幾乎無法區(qū)分安全與危險(xiǎn)應(yīng)用。

強(qiáng)化應(yīng)用安全防護(hù)建議

Zimperium建議企業(yè)采取多層次防護(hù)策略：

• 嚴(yán)格應(yīng)用審核：在企業(yè)設(shè)備部署應(yīng)用前進(jìn)行靜態(tài)與動(dòng)態(tài)分析，識(shí)別權(quán)限濫用、API誤用或沙箱規(guī)避等可疑行為
• 權(quán)限監(jiān)控：拒絕功能與權(quán)限需求不匹配的應(yīng)用
• 側(cè)載應(yīng)用檢測：監(jiān)控第三方應(yīng)用商店使用情況——這是惡意軟件的常見傳播渠道
• 開發(fā)者憑證分析：驗(yàn)證應(yīng)用來源并識(shí)別聲譽(yù)風(fēng)險(xiǎn)

此外，Zimperium移動(dòng)威脅防御（MTD，Mobile Threat Defense）平臺(tái)可自動(dòng)檢測側(cè)載應(yīng)用、系統(tǒng)入侵及行為異常，幫助及早發(fā)現(xiàn)威脅并阻斷惡意活動(dòng)擴(kuò)散。

未來防護(hù)方向

隨著攻擊者不斷找到繞過移動(dòng)安全的新方法，企業(yè)必須將重心從事后處置轉(zhuǎn)向事前分析。應(yīng)用審核不再可選，而成為保護(hù)移動(dòng)終端安全的關(guān)鍵環(huán)節(jié)。

面對TrollStore、SeaShell等活躍威脅，以及MacDirtyCow和KFD漏洞的持續(xù)濫用，移動(dòng)安全團(tuán)隊(duì)容錯(cuò)空間極小。Zimperium的警示十分明確：不要僅因應(yīng)用能在iOS運(yùn)行就輕信其安全性，必須清楚其功能、來源及行為模式。