高雪峰：IOS设备安全,Yes or No?

9月24日消息，亚太信息安全领域最权威的年度峰会 —2014中国互联网安全大会(ISC 2014)，于2014年9月24日-25日在北京召开。国内互联网安全高官、国内外互联网安全技术专家，以及各个行业的信息安全主管与技术人员将共聚ISC 2014，对国家网络空间战略安全、移动安全、企业安全、云与数据安全、Web安全、软件安全、电子取证、工控安全以及APT与新兴威胁等互联网信息安全热点议题、技术进行深入研讨和交流。赛迪网对本次大会进行全程直播，以下是移动安全论坛上的演讲内容，来自360移动安全研究员高雪峰的主题演讲：

高雪峰：各位来宾大家好，我是360移动安全研究员高雪峰。破解密码这一块，我手里拿这个东西可以直接连接到iPhone上，比如你的一些程序写好之后，把一些常用密码，可以自动输入，可以自动化来完成破解任务，这是一个非常好玩的东西，在刚刚上市的世界第二大互联网公司旗下的魔宝下面有卖的，大家感兴趣可以去看看。

刚才讲的是破解密码这一块的隐私，我会讲讲在IOS这一块，苹果手机怎么去获取隐私。我们先讲一下IOS 8，9月份是一个苹果的月份，刚发布了iPhone6，9月18号发布新的产品iPhone6上市，网上能看到各种攻略，怎么可以买更多的iPhone手机。所以我先介绍一下在IOS8当中会出现一些新的点，包括IOS8当中的MAC地址变得随机化，带设备安全方面在Find my iPhone里面增加了send last iocation，手机没有电的情况下，如果连网的情况下，可以发一条指令。在信息方面增加新的打扰模式，这个打扰模式是一个什么概念呢?你收到一些短信你可以不必去看，它可以自动屏蔽，这个如果做得更好，还可以做成信息化黑名单，可以自动屏蔽，所以我们也看到如果在后期的版本里面如果信息黑名单出来的话，基本是一个非常好的功能。包括在iPhone5S上面的Touch ID的API接口开放，肯定带来内部安全认证和授权的新方式，但不可能出现密码认证取代密码。来电归属地显示，iPhone6支持新的NFC功能，这个NFC功能是有一定的限制性，它只支持苹果支付的NFC功能。

我们也可以看到在原有IOS7上面，包括电话号码黑名单，还有Imessage垃圾信息处理，大家会有一个疑问，会不会变成一个信息滥用的东西?我们经常会收到一些垃圾短信，如果用Imessage去做更好?在我们现实当中Imessage收到的垃圾短信还好，没有收到那么多。为什么?苹果做了很多处理，发同样一条信息给若干号，它可以根据你的内容和频率去做自动化拦截，做过实验的就可以发现，Imessage通过十个或者一百个人发同样的任务，它的时间间断频率一样，苹果自动机制里面会做屏蔽，第一次发的话都会重，但是第二次或者第三次会有一个递减的状态，第二次再法有66%的概率，再往下发可能是33%的概率，最后可能会直接屏蔽你的手机，他屏蔽手机是通过硬件的序列号去屏蔽，直接可以导致你的这个手机无法再使用。所以你如果通过这种方式去做垃圾短信发送的话，它的成本是非常大的，所以他通过这种方式去做。还增加了一个锁屏的Lock，比如你的手机丢失，其他人要重新激活，如果没有原来的iPhone ID，这个手机是无法激活的，就导致手机无法使用。

IOS做了很多安全方面的工作，我们也知道IOS是防止被突破的一个点，另外一个点就是苹果在追求安全方面，包括移动安全做的是比较领先的。包括权限分离，包括代码点名，不允许数据的执行，二进制文件，库文件、动态连接文件、找和推内存地址全部随机化。做了引入沙盒的区分，不会攻击到系统里面上。

IOS的发展史上，从无沙盒及内存保护措施，到引入沙盒，DEP，代码签名，从根本上保证HTML5更安全。IOS的安全框架，在最底层这一块，它是有一个硬件区，这个区域是苹果的一个签名，签名之后硬件这一块就安全了，里面有两个K，通过这种K的唯一性来确保硬件启动是安全的，再通过加解密的引擎去解密代码里面的内容，然后到上层APP，上层APP有很多保护，通过这种方式来达到一个安全的保障。所以说它从硬件，从底层，然后再到上层的内核层，再到最上面的应用层，层层做了很多保护措施。

在数据保护上做了哪些事?在数据保护当中的一个链，Device UID具有唯一性，每一台设备就有一个唯一的Device UID，生成一个文件系统Key，文件key打开文件里面的内容，通过这样的方式来保护你的数据安全。在保护数据安全的时候是有一些设置，你在解锁的时候有一种安全的保护，比如说在解锁的时候这个数据才会被解锁。还有一种方式解锁一次，这个数据就处在一个解密状态，即便后续再锁屏，它其实在里面保存的数据也是解密，而并不是做加密，所以它分了很多级别。还有一个级别是它没有做任何的保护，一般来说在IOS上面大部分数据是没有做保护的，但是它上这上面做的所谓的没有保护是在苹果上面这么显示，但实际上如果你设置了User Passcode。在很多文件系统里面，比如我们存储的这个数据，我们介绍的Keychain，这上面有一些通用的密码，比如这是一个API，我们有自己的wifi，可以看到iPhone里面保存的密码，所以这是一种无保护的形式，虽然是一种无保护的形式，但它必须是在解密的情况下才能出现，如果不解密大家是看不到这个Keychain的。

再介绍一下在企业安全这一块，从去年到今年BYOD是非常热的话题，包括在苹果，包括在安卓平台。我们现在办公化越来越移动化，移动化带来一个问题，公司数据在移动设备上去办公，比如通讯录、邮件、公司的一些文件这都是很涉密的东西，苹果在这方面做的非常好。它有一个配置管理中心，可以去做一些配置，我们可以看到允许哪些功能可以去执行，哪些功能不能去执行，比如说你的手机是不是可以使用相机，你的手机是不是可以使用这个屏幕的快照，包括你的程序是不是由你自己去安装还是由公司管理员去安装，他做了很多设置。

让IOS更安全，让里面的数据更安全，包括越狱的难度越来越大，都是为了在IOS方面追求更安全，但实际上是不是这样呢?我们可以举一个例子，我们刚才介绍数据安全的问题，设置-密码-抹掉数据，连续输错十次麻掉所有的数据。我们可以看一下这个数据，这是在没有检索的情况下才可以看到，如果是非打开锁屏的情况下，它的数据才是可读的，如果没有解锁的话，它一直处于加密状态。实际上它的设置逻辑思维是好的，但是我们再解锁一次屏幕之后，我们再锁屏，它的状态就变成第一次解锁之后就解密，这就会有一个问题，这个手机如果解锁一次之后，那它的文件就不是在加密的状态，按说它应该是在锁屏之后变成一个加密的状态，但实际上没有。这是7.0版本上的一个漏洞，在7.1.1已经修复，剥削最新的7.1.2都没有这个问题。

最近报告的一个安全问题，大家也有了解到，在好莱坞裸照风波，著名的奥斯卡的影星发了一个twitter，写上Thank you iCloud，它有一个API接口，我可以设置一个字典库，登录到Find my iPhone上面，它有一个自动同步机制，自动同步机制里面会自动同步你的照片，这样反推上去，通过Find my iPhone API的一个漏洞，我可以进入iCloud里面去。

我们再讲一下涉及到国家安全的一点，叫Dropout jeep，这个是什么意思呢?它是来偷你的很多数据。在08年的时候美国共启动了iPhone设备的一些间谍的监听工作或者设置一些软件，NSA专门为IOS开发一些植入的后门用于偷窃IOS用户信息和监视用户活动，可以拿到通话记录、短信、定位信息、备忘录。最近曝光比较大的是一个IOS后门，IOS后门有几个点，比如house-arrest ，file-relay。我们做了一款邪恶的充电器，我手里拿的这是一款充电器，通过底层通讯的一些软件，底层是用一个Beaglebone black，可以做一个移动的充电器，如果你的手机插到我这上面去，这个灯会闪，会读取你的数据，灯灭了之后，数据就在里面保存。

我们用底层的一些东西去发现在pcapd上面做什么，就是通过USB连在你的手机上，你的手机没有做任何的越狱，按说应该是一个很安全的手机，但是我们可以读到一些东西。我们怎么来获取IOS上面的一些数据包?想尽各种办法，但实际上我们看到它的这个服务可以用它的模式，左边的这个图是在盗取数据的时候它的数据流量，右边是打开的一个数据包，这个数据包打开微信的时候可以自动去抓包，抓到很多里面的数据。

另外一个就是file-relay，它会绕开锁屏，可以盗走哪些东西呢?可以看到你的帐户、蓝牙，包括一些信息，包括地理位置。最下面还要介绍一下HFSmeta，这个东西也可以宕出来，通过文件系统的方式挂到上面，它里面会宕很多，包括时间、文件名，还有创建的具体时间，还有一些文件名，还有邮件。把这个文件系统挂在上面之后，具体通过可以有哪些东西，手机里面所有的邮件目录，包括附件，它都有一个清晰的展示，如果从国家安全的角度来说，我可以宕出来你的数据，我就知道上面有哪些东西，我获取具体某个数据的话，这件事情就很容易去做。

我们在数据监控层发现一些东西，在后门我们如果进行一些操作，你会发现它首先创建了很多目录，创建了很多文件，这些文件创建完之后打包，打包完之后直接会删除。如果不从底层看的话，可能就是没有做任何事情的一个东西，但实际上你的文件，里面的很多数据已经通过后门传输。

House-arrest这个东西，我们用这个东西可以干更多的事，比如可以拿到你的文档，通过这个后门我们可以做一些事。微信的一个APP，我做了一个截图，大家会看到你的文档里面，包括一些敏感的Crash都可以读取到。在IOS7或者更低的版本里面，在微信APP下面其实能宕更多的东西。

这里有一个演示给大家看一下。通过这个我们可以连接到一部手机上，连接到手机上之后直接会宕走里面的数据。这分两种，如果你的手机是越狱的话，我们会做一些特殊的做法，宕里面更多的东西，这里面有很多的密码，还有一些备忘录，这都是通过手机的后门直接去宕出来的。如果你在备忘录里面写了很多东西的话，你就可以通过这个东西去看到备忘录里面有很多东西，在锁屏的情况下也完全可以宕出来，只要你的手机插到我的设备中，还有一些手机的基本信息，包括通讯录。还有系统配置，系统配置里面有很多敏感信息，比如一些网络的配置，还包括里面的APP，你在上面装的APP都可以宕的出来。

通过IOS后门，我们获取了大部分的隐私数据。为什么苹果会这么做呢?按说他应该追求更安全的东西，但是为什么我们通过后门可以做这么多事?它是做诊断，还是说为了技术支持，或者说为了给开发者做调试?我觉得像这么隐私的东西按理说不应该通过这种方式去拿得到，我们其实可以看到IOS4、5、6、7其实这都可以宕，我刚才列出来那40多个文件，略微有少许的不同。IOS8的正式版上面，我们可以看到pcap 和filerelay这两个是关闭的，housearrest仍可能有限的利用，在IOS7上如果说我们想拿到数据，必须是有一次点进去之后，点信任了之后才可以读取这个数据，即便你的手机没有越狱。开始苹果他不承认这是一个后门，但是如果这不是一个后门的话，为什么在IOS8当中去关闭了这几个服务，通过我们的USB或者通过无线拿不到这些数据。我做这个充电器，宕完你的数据，我通过3G信号把你的一些隐私数据发送到我指定的地方，这样就是通过远程来控制你的一些数据。

除了这个以外，我们还能做一些什么?在非越狱的机器上面，我们可以通过一些后门，还有很多的一些服务，我们可通过wifi的方式去连接，我们可以装一些软件，通过APP去安装，在手机上安装之后根本看不到它在上面做了哪些东西，但是可以获取你的隐私或者读到你很多东西。越狱的手机我们可以做到什么呢?里面的数据是怎么宕出来的?在你连接到这个手机之后我们就会判断，我们可以挂到你的目录里，挂到目录帐户里面，我们会在你底层的一些监控的SpringBoard，下一些plist，只要是你的手机解屏，我们就可以把里面的数据解出来，通过这种手段拿到你越狱手机里面一些很敏感的数据。其实我刚刚展示的那一块是一个AP的密码，那个东西很好展示。

配对信息，除了让我们点信任以外，有没有其他的途径让你拿得到?这也是有的。比如一台笔记本或者设备管理员，他可以通过设备管理员有大量配对的list，Plist存储的是你的笔记本交互产生的key，放在USB这种小的充电器上面，可以绕过你的信任点击，就可以直接宕里面的很多数据。

最后我们要讲一下如何去防范?这个防范的途径有很多，包括从软件层面，包括从硬件层面，大会说要提一个问题，这个图形里面界面插的笔记本上的USB是做什么的?它是通过什么方式去达到你的数据不被后门或者其他方式去宕出来，有人知道吗?比如说在机场有很多地方是有一个移动充电桩，你没电的时候就会充电，充电的时候你有可能会玩你的手机，其实这时候很多数据就会被宕掉，通过这个东西可以去防止，有谁知道这是怎么做到的呢?

回答：充电需要两根线，需要屏蔽掉另外一根线。

高雪峰：这是我们部门另外一个小组手工打造的一个产品，把USB重新做了一次转换，把里面数据转换的那根线去掉，只能通过充电的方式，这样就能保证你的电脑只是在充电，不可能有数据交互，保证你的数据安全。谢谢大家。

(责任编辑：往生)