iOS惡意應(yīng)用分析綜述

朱易翔，張慷，王渭清

（1.移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室，上海 201315；2.中國(guó)電信股份有限公司上海研究院，上海 200122；3.中國(guó)電信股份有限公司上海分公司，上海 200120；4.中國(guó)電信集團(tuán)公司，北京 100033）

iOS惡意應(yīng)用分析綜述

朱易翔1,2，張慷3，王渭清4

（1.移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室，上海 201315；2.中國(guó)電信股份有限公司上海研究院，上海 200122；3.中國(guó)電信股份有限公司上海分公司，上海 200120；4.中國(guó)電信集團(tuán)公司，北京 100033）

介紹了iOS的安全架構(gòu)和應(yīng)用程序的分發(fā)模式，分析了iOS平臺(tái)上惡意應(yīng)用程序?qū)τ脩魯?shù)據(jù)安全和隱私構(gòu)成的威脅，討論了iOS上惡意應(yīng)用少于Android系統(tǒng)惡意應(yīng)用的原因，總結(jié)了已出現(xiàn)的iOS惡意應(yīng)用的攻擊方法，并對(duì)未來的緩解和對(duì)抗策略進(jìn)行了展望。

iOS安全；惡意代碼；惡意應(yīng)用

1 引言

隨著移動(dòng)互聯(lián)網(wǎng)的迅速普及，移動(dòng)設(shè)備的各種安全問題日益突出。移動(dòng)智能終端惡意軟件、用戶敏感信息泄露及未授權(quán)訪問等各種類型的安全威脅給移動(dòng)互聯(lián)網(wǎng)用戶帶來了極大的困擾。手機(jī)惡意軟件對(duì)終端用戶的侵?jǐn)_已泛濫成災(zāi)，這對(duì)廣大手機(jī)網(wǎng)民的財(cái)產(chǎn)和隱私信息安全構(gòu)成危害。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心報(bào)告顯示[1]，超過半數(shù)的手機(jī)網(wǎng)民遭遇過惡意扣費(fèi)、惡意強(qiáng)制聯(lián)網(wǎng)、竊取隱私信息、惡意傳播和破壞等惡意行為。手機(jī)惡意軟件及隱私泄露已造成大規(guī)模的不良影響，引起社會(huì)廣泛關(guān)注。

谷歌Android和蘋果iOS是兩類主流的移動(dòng)設(shè)備操作系統(tǒng)，二者占據(jù)巨大的市場(chǎng)份額。針對(duì)Android系統(tǒng)的惡意應(yīng)用已經(jīng)出現(xiàn)爆發(fā)式增長(zhǎng)的問題，學(xué)術(shù)界和工業(yè)界也推出了各種檢測(cè)、防護(hù)與分析技術(shù)和安全產(chǎn)品。與Android系統(tǒng)緊迫的安全形勢(shì)不同，在很長(zhǎng)時(shí)間里并未大規(guī)模出現(xiàn)針對(duì)iOS系統(tǒng)的惡意應(yīng)用。因此很多用戶都認(rèn)為iOS系統(tǒng)的安全性優(yōu)于Android系統(tǒng)。

本文將介紹iOS系統(tǒng)的安全架構(gòu)和應(yīng)用程序的分發(fā)模式，分析iOS平臺(tái)上惡意應(yīng)用程序?qū)τ脩魯?shù)據(jù)安全和隱私構(gòu)成的威脅，討論iOS系統(tǒng)惡意應(yīng)用少于Android系統(tǒng)惡意應(yīng)用的原因，總結(jié)已出現(xiàn)的iOS惡意應(yīng)用的攻擊方法，展望未來的緩解和對(duì)抗策略。

2 iOS安全架構(gòu)背景

2.1 iOS版本歷史與主要安全機(jī)制演進(jìn)

iOS的最初名稱是iPhone OS，由第一代iPhone設(shè)備于2007年6月搭載發(fā)布。隨后蘋果公司對(duì)iPhone OS不斷升級(jí)。2010年6月，隨著iPhone 4的發(fā)行，蘋果公司正式將移動(dòng)設(shè)備上的操作系統(tǒng)簡(jiǎn)稱為 iOS并發(fā)布了iOS 4.0。此后，隨著硬件型號(hào)的不斷升級(jí)、新功能特性的引入以及安全漏洞補(bǔ)丁的發(fā)布，iOS系統(tǒng)也一直在頻繁升級(jí)，目前最新的正式發(fā)行版是iOS 10.2。

iPhone OS的最初版本（1.x系列）并未將安全機(jī)制作為重點(diǎn)，沒有引入任何漏洞攻擊緩解方案，而且所有進(jìn)程以root身份運(yùn)行。但是，隨著iPhone OS 2.0的發(fā)布，蘋果引入了App Store（應(yīng)用商店）的應(yīng)用程序發(fā)布形式，即第三方應(yīng)用程序的發(fā)布、下載只能通過蘋果官方的應(yīng)用商店。為了支持該特性，蘋果公司在iPhone OS 2.0中加入了強(qiáng)制代碼簽名機(jī)制。通過強(qiáng)化內(nèi)核中內(nèi)存訪問和管理機(jī)制，iPhone OS 2.0不允許應(yīng)用程序分配或使用同時(shí)可執(zhí)行和可寫的內(nèi)存頁(yè)面，并加強(qiáng)對(duì)可執(zhí)行頁(yè)面的安全檢查，確保所有可執(zhí)行頁(yè)面被可信證書簽名保護(hù)。

此后，硬件的升級(jí)為引入更多安全機(jī)制創(chuàng)造了條件。iOS 4.3中引入地址空間布局隨機(jī)化 （address space layout randomization，ASLR），該策略已被其他各主流操作系統(tǒng)廣泛應(yīng)用。這種機(jī)制確保程序運(yùn)行時(shí)的內(nèi)存布局（代碼位置、棧位置以及堆數(shù)據(jù)）對(duì)遠(yuǎn)程攻擊者的不可預(yù)測(cè)性，從而顯著增加了漏洞利用的難度。iOS 6中引入了內(nèi)核地址空間布局隨機(jī)化 （kernel address space layout randomization,KASLR），從而確保內(nèi)核執(zhí)行空間的隨機(jī)性。iOS 7中開始啟用touch ID，允許用戶在64 bit的設(shè)備上通過指紋解鎖設(shè)備。iOS 8中引入了開發(fā)者身份（team ID）驗(yàn)證，確保蘋果自身開發(fā)的程序與第三方開放的動(dòng)態(tài)鏈接庫(kù)隔離。在iOS 9和最新的iOS 10中，蘋果已經(jīng)采用基于TrustZone的內(nèi)核完整性保護(hù)機(jī)制，確保內(nèi)核可執(zhí)行頁(yè)面不可被永久篡改。iOS主要安全機(jī)制發(fā)展過程[2]如圖 1所示。

圖1 iOS主要安全機(jī)制發(fā)展過程

此外，iOS繼承了UNIX操作系統(tǒng)的權(quán)限管理和用戶隔離機(jī)制，并且定制了嚴(yán)格的沙盒（sandbox）規(guī)則，基于硬件實(shí)現(xiàn)數(shù)據(jù)加密。蘋果基于硬件保護(hù)機(jī)制確保機(jī)器啟動(dòng)過程的完整性，而且將操作系統(tǒng)的內(nèi)核文件加密保存。在版本控制上，iOS采用更為嚴(yán)格的機(jī)制：設(shè)備不能降級(jí)安裝低版本的iOS操作系統(tǒng)。該策略使得iOS設(shè)備一旦升級(jí)后就只能停留在當(dāng)前或最新版本，有效避免了操作系統(tǒng)版本碎片化問題，減少了已公開漏洞的影響范圍。

2.2 iOS應(yīng)用程序分發(fā)機(jī)制

蘋果公司于2008年7月推出應(yīng)用程序分發(fā)和下載平臺(tái)應(yīng)用商店。終端用戶可以通過應(yīng)用商店搜索、發(fā)現(xiàn)、下載和購(gòu)買各種應(yīng)用程序。第三方開發(fā)者可以通過參加蘋果開發(fā)者計(jì)劃向應(yīng)用商店提交應(yīng)用程序并在應(yīng)用商店上發(fā)布。根據(jù)蘋果公司公布的數(shù)據(jù)，應(yīng)用商店上已有140萬個(gè)以上的應(yīng)用程序，總下載量達(dá)千億次[3]。

由于iOS設(shè)備上嚴(yán)格的代碼簽名機(jī)制，第三方開發(fā)者必須通過參加蘋果開發(fā)者計(jì)劃獲得蘋果公司簽名的開發(fā)證書后，才能在物理機(jī)上運(yùn)行、調(diào)試自己開發(fā)的應(yīng)用程序。目前蘋果公司推出3種開發(fā)者賬號(hào)：個(gè)人賬號(hào)、企業(yè)賬號(hào)和教育賬號(hào)。個(gè)人賬戶開發(fā)者證書一年內(nèi)最多只能在100臺(tái)物理機(jī)上有效，而企業(yè)賬號(hào)證書則沒有這個(gè)限制。教育賬號(hào)是蘋果公司為了鼓勵(lì)和吸引高校更多地參與到蘋果開發(fā)者的計(jì)劃中而特意推出的一項(xiàng)計(jì)劃，高校計(jì)劃具有在真機(jī)上開發(fā)、調(diào)試等權(quán)限，但不能將App發(fā)布到蘋果應(yīng)用商店。

第三方應(yīng)用程序在應(yīng)用商店上架前，必須經(jīng)過蘋果公司的審計(jì)。在審計(jì)過程中，蘋果公司要進(jìn)行內(nèi)容審核、功能穩(wěn)定性審核以及檢查應(yīng)用程序是否含有惡意功能。對(duì)于已上架的應(yīng)用程序，蘋果公司可以隨時(shí)將其下架。

應(yīng)用商店上的第三方應(yīng)用由蘋果公司簽名，并且通過未公開的數(shù)字版權(quán)管理（digital right management，DRM）技術(shù)加密程序的可執(zhí)行代碼。此外，從應(yīng)用商店上下載的應(yīng)用程序，如果未經(jīng)過購(gòu)買者賬戶（Apple ID）的授權(quán)，依然不能直接在物理機(jī)上運(yùn)行。換言之，蘋果公司基于代碼簽名機(jī)制和DRM保護(hù)機(jī)制，嚴(yán)格保護(hù)應(yīng)用商店上應(yīng)用程序的安全。

2.3 iOS越獄

由于iOS原生系統(tǒng)的封閉性和蘋果對(duì)iOS系統(tǒng)的強(qiáng)控制力，iOS系統(tǒng)的安全性遠(yuǎn)強(qiáng)于其他系統(tǒng)。iOS系統(tǒng)采用了諸多嚴(yán)格的安全機(jī)制，如可信啟動(dòng)鏈、代碼簽名、沙盒執(zhí)行環(huán)境、權(quán)限隔離和數(shù)據(jù)加密，這使得針對(duì)iOS系統(tǒng)的安全威脅總數(shù)遠(yuǎn)低于針對(duì)Android系統(tǒng)的安全威脅總數(shù)。這也是“iOS平臺(tái)相對(duì)安全”慣性思維的由來。

然而iOS系統(tǒng)的封閉性也是被很多用戶一直詬病的地方。iOS設(shè)備的擁有者僅具有設(shè)備的使用權(quán)和有限的管理權(quán)。例如，iOS用戶只能從指定渠道下載App，無法獲得設(shè)備的root權(quán)限，無法更改系統(tǒng)的關(guān)鍵配置文件。這些特性使iOS設(shè)備更加安全，但也限制了第三方App的功能，影響了用戶的體驗(yàn)效果。

從安全研究角度而言，iOS系統(tǒng)中加密的固件包和嚴(yán)格的沙盒訪問控制使得第三方安全人員很難對(duì) iOS設(shè)備的內(nèi)核和應(yīng)用程序進(jìn)行分析。對(duì)于應(yīng)用商店上的第三方App，蘋果公司采用了一套復(fù)雜的DRM機(jī)制來加密這些程序的代碼段，只有當(dāng)這些程序運(yùn)行時(shí)才由內(nèi)核解密這些代碼。這直接導(dǎo)致第三方安全人員無法對(duì)iOS平臺(tái)上的可執(zhí)行程序進(jìn)行靜態(tài)分析。

自iOS系統(tǒng)發(fā)布起，很多安全人員一直致力于研究如何通過利用iOS設(shè)備硬件和軟件中的漏洞，突破iOS系統(tǒng)中的諸多限制，獲得對(duì)iOS設(shè)備的完全控制權(quán)，這就是越獄。越獄后，用戶可以獲得對(duì)文件系統(tǒng)的完全訪問，自主控制應(yīng)用程序的安裝和卸載，從第三方App發(fā)布平臺(tái)獲取App，根據(jù)自己需求定制化系統(tǒng)配置。

通常而言，越獄的目的是為了突破iOS系統(tǒng)的限制，并不是完全破壞iOS系統(tǒng)所有的安全策略。越獄工具對(duì)iOS設(shè)備的改變很大，其中最為關(guān)鍵的兩點(diǎn)是禁用 iOS代碼簽名檢查和開放root權(quán)限。為了維持越獄設(shè)備的安全性，越獄工具通常不會(huì)破壞其他安全策略，如沙盒、ASLR、數(shù)據(jù)執(zhí)行保護(hù)（data execution protection，DEP）等。但是，由于越獄后用戶可以在設(shè)備上安裝運(yùn)行任意代碼，這給安全帶來了很多隱患。

3 iOS惡意應(yīng)用案例

iOS系統(tǒng)大規(guī)模普及后，很長(zhǎng)時(shí)間內(nèi)并未出現(xiàn)過大規(guī)模流行的惡意應(yīng)用程序。對(duì)歷史上出現(xiàn)的典型iOS惡意應(yīng)用和攻擊進(jìn)行回顧分析，見表1，分類介紹并總結(jié)iOS惡意應(yīng)用的發(fā)展趨勢(shì)。

表1 典型的iOS惡意應(yīng)用和攻擊

3.1 針對(duì)越獄手機(jī)的惡意應(yīng)用

由于越獄后的手機(jī)不再具備強(qiáng)制代碼簽名等安全機(jī)制，越獄后的設(shè)備成為大部分針對(duì)iOS惡意應(yīng)用的首選目標(biāo)。

（1）iKee[4]蠕蟲

最早出現(xiàn)的針對(duì)越獄設(shè)備的蠕蟲類型。很多用戶在越獄的 iOS設(shè)備上安裝 open SSH，但未能及時(shí)修改 open SSH的root賬號(hào)和密碼。iKee蠕蟲通過掃描open SSH端口、嘗試使用root賬號(hào)和默認(rèn)密碼登錄就感染了大量越獄設(shè)備。設(shè)備一旦感染iKee蠕蟲，就會(huì)被加入某些僵尸網(wǎng)絡(luò)中，并進(jìn)一步掃描周圍的IP地址進(jìn)一步傳播iKee蠕蟲。

（2）AppBuyer[5]

隨著越獄設(shè)備的增多，在越獄應(yīng)用商店Cydia中也不斷出現(xiàn)針對(duì)越獄iOS設(shè)備的惡意應(yīng)用。AppBuyer是一款非常典型的惡意應(yīng)用。首先，AppBuyer通過劫持越獄設(shè)備網(wǎng)絡(luò)通信的關(guān)鍵系統(tǒng)函數(shù)，獲取用戶的Apple ID和密碼，上傳至攻擊者控制的遠(yuǎn)程服務(wù)器。其次，AppBuyer可以遠(yuǎn)程下載并升級(jí)可執(zhí)行代碼等功能。此外，AppBuyer會(huì)模擬用戶在蘋果公司應(yīng)用市場(chǎng)上購(gòu)買應(yīng)用程序的協(xié)議，以用戶的身份在應(yīng)用商店上下載應(yīng)用。與AppBuyer類似的惡意應(yīng)用還有AdThief/Spad、Unflod等。AppBuyer等惡意應(yīng)用通常都是通過第三方 Cydia軟件倉(cāng)庫(kù)源分發(fā)惡意應(yīng)用，欺騙用戶主動(dòng)下載安裝，因此在傳播范圍上存在很大局限。

（3）WireLurker

在2014年USENIX Security年會(huì)上，研究人員預(yù)測(cè)通過個(gè)人電腦可以大規(guī)模感染iOS設(shè)備[6]。2014年11月，多個(gè)安全公司發(fā)現(xiàn)了真實(shí)案例。WireLurker[7]通過在Mac OS上的木馬應(yīng)用程序，監(jiān)視USB端口，一旦有iOS設(shè)備接入，就進(jìn)一步攻擊接入的iOS設(shè)備。WireLurker不僅可以攻擊越獄的 iOS設(shè)備，還能感染未越獄的 iOS設(shè)備。WireLurker收集大量用戶隱私數(shù)據(jù)，并且采用代碼混淆、加密等對(duì)抗性技術(shù)手段防止被分析。

3.2 針對(duì)非越獄手機(jī)的惡意應(yīng)用

（1）SpyPhone[8]

早期的iOS版本（4.x版本）中的沙盒規(guī)則過于寬松，這導(dǎo)致沙盒內(nèi)的應(yīng)用程序可以直接訪問電話號(hào)碼、通訊錄、Safari搜索歷史、電子郵件賬戶、鍵盤緩存、照片、GPS以及Wi-Fi接入點(diǎn)。Nicolas Seriot在Blackhat DC 2010會(huì)議上展示了名為SpyPhone的普通應(yīng)用程序獲取用戶敏感隱私數(shù)據(jù)，突出了 iOS沙盒規(guī)則問題的嚴(yán)重性。在SpyPhone之前，一家游戲公司Storm8在其旗下的多款iOS產(chǎn)品中收集用戶電話號(hào)碼。

（2）Mactans[9]

在iOS 7之前，個(gè)人電腦可以直接對(duì)接入的iOS設(shè)備進(jìn)行應(yīng)用程序的安裝或卸載、文件的備份或還原等操作。由于iOS設(shè)備完全信任個(gè)人電腦，引發(fā)了很多安全隱患。研究人員設(shè)計(jì)了一個(gè)針對(duì)iOS設(shè)備的特殊充電器，在USB接口上對(duì)iOS設(shè)備攻擊，實(shí)現(xiàn)隱私竊取、模擬用戶點(diǎn)擊、安裝隱藏應(yīng)用程序、監(jiān)視用戶點(diǎn)擊等功能。

（3）Jekyll[10]

盡管蘋果公司會(huì)在第三方應(yīng)用程序上架前進(jìn)行安全檢查，研究人員證實(shí)這種檢查根本無法杜絕惡意的應(yīng)用程序。名為Jekyll的惡意應(yīng)用在自身代碼中設(shè)置基于漏洞觸發(fā)的后門，在不引入任何新的執(zhí)行代碼的情況下，在程序運(yùn)行時(shí)重新組合已有功能片段實(shí)現(xiàn)各種惡意攻擊。

（4）XcodeGhost[11]

2015年9月爆發(fā)的XcodeGhost事件是迄今為止感染規(guī)模最大的iOS惡意應(yīng)用。XCode是由蘋果公司發(fā)布的運(yùn)行在操作系統(tǒng)Mac OS X上的集成開發(fā)工具，是開發(fā)OS X和iOS應(yīng)用程序的最主流工具。由于XCode安裝包太大，從蘋果官方下載XCode經(jīng)常失敗，因此很多開發(fā)者更傾向于從第三方站點(diǎn)下載XCode。攻擊者根據(jù)這種現(xiàn)象，通過對(duì)XCode安裝包進(jìn)行篡改，加入惡意模塊，并通過各種社交媒體等渠道進(jìn)行傳播，誘使大量開發(fā)者使用被污染過的版本建立開發(fā)環(huán)境。經(jīng)污染過的XCode編譯iOS應(yīng)用程序時(shí)，會(huì)植入額外的惡意邏輯，其中包括向攻擊者注冊(cè)的域名回傳若干加密信息，并包含偽造彈窗和遠(yuǎn)程控制等功能。在XcodeGhost事件中，許多流行iOS應(yīng)用被感染，其中包括微信、網(wǎng)易云音樂、12306、滴滴出行等，據(jù)不完全統(tǒng)計(jì)，在本次感染事件中中招的iOS用戶數(shù)高達(dá)1億戶。

（5）YiSpecter[12]

一款在中國(guó)被廣泛發(fā)現(xiàn)的iOS惡意應(yīng)用。通過ISP流量、Windows SNS蠕蟲、離線應(yīng)用安裝等傳播途徑，YiSpecter可以在iOS設(shè)備上安裝企業(yè)證書簽名的惡意應(yīng)用，從而收集設(shè)備UUID、MAC地址等用戶隱私信息，并利用系統(tǒng)私有API特性替換已安裝的應(yīng)用等，在合法應(yīng)用內(nèi)展示廣告、改變Safari默認(rèn)搜索引擎、向遠(yuǎn)程服務(wù)器上傳用戶信息。

（6）Pegasus/Trident[13]

阿聯(lián)酋的人權(quán)活動(dòng)人士曼蘇爾于2016年8月10日與11日收到兩條聲稱含有囚犯在阿聯(lián)酋監(jiān)獄中遭到折磨的“秘密”短信，曼蘇爾覺得此事蹊蹺，于是把線索提供給了公民實(shí)驗(yàn)室，公民實(shí)驗(yàn)室依據(jù)鏈接順藤摸瓜，發(fā)現(xiàn)這是NSO Group針對(duì)曼蘇爾實(shí)施的APT（advanced persistent threat，高級(jí)持續(xù)性威脅）攻擊。該惡意代碼使用的就是被稱為iOS PEGASUS（又稱Trident三叉戟）的一組0day漏洞，包括CVE-2016-4657（Safari的Webkit內(nèi)核上的內(nèi)存破壞漏洞）和 CVE-2016-4655（內(nèi)核信息泄露漏洞），可用于繞過KASLR和CVE-2016-4656（內(nèi)核UAF漏），控制內(nèi)核并執(zhí)行任意代碼。為了修復(fù)該漏洞，蘋果公司專門發(fā)布了一個(gè)iOS 9.3.5版本。該惡意代碼可以直接從沙盒內(nèi)對(duì)內(nèi)核進(jìn)行攻擊（無需沙盒逃逸），并且同時(shí)影響 iOS（9.3.4）和 OS X（10.11.6）。

4 iOS 安全生態(tài)分析

綜上，iOS系統(tǒng)的惡意應(yīng)用已經(jīng)從針對(duì)越獄環(huán)境發(fā)展到越獄環(huán)境和非越獄環(huán)境兼顧的形態(tài)，從僅能小范圍感染發(fā)展到可以大規(guī)模傳播，并且展現(xiàn)出豐富的攻擊途徑，既包括官方的應(yīng)用商店和越獄應(yīng)用市場(chǎng)的第三方軟件安裝源，也包括惡意的物理外設(shè)（例如充電器），甚至涉及ISP層面流量劫持等。

同時(shí)，APT攻擊是當(dāng)前網(wǎng)絡(luò)空間安全面臨的最嚴(yán)峻挑戰(zhàn)之一，隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，智能移動(dòng)設(shè)備已成為APT的重點(diǎn)攻擊目標(biāo)。iOS系統(tǒng)是除Android系統(tǒng)外移動(dòng)智能設(shè)備上使用最多的操作系統(tǒng)，毫無疑問也是APT攻擊的重點(diǎn)關(guān)注對(duì)象，iOS惡意應(yīng)用也成為APT攻擊中重要的工具。iOS惡意應(yīng)用所用到的攻擊技術(shù)，曾經(jīng)以應(yīng)用層漏洞利用為主流，隨著蘋果公司對(duì)iOS系統(tǒng)安全機(jī)制的不斷完善和對(duì)攻擊途徑的不斷封堵，當(dāng)前直接攻擊系統(tǒng)接口和內(nèi)核的漏洞利用也成為了重要的技術(shù)途徑，包括蘋果公司、APT攻擊者等黑色產(chǎn)業(yè)、越獄研究團(tuán)隊(duì)、移動(dòng)安全研究團(tuán)隊(duì)在內(nèi)的整個(gè)生態(tài)圈，都應(yīng)對(duì)相關(guān)領(lǐng)域的漏洞發(fā)掘技術(shù)、漏洞利用技術(shù)、安全防范機(jī)制基于更多的持續(xù)關(guān)注。

5 結(jié)束語(yǔ)

面對(duì)各種層面針對(duì)iOS的高級(jí)攻擊和威脅，業(yè)界尚鮮有針對(duì)蘋果iOS的安全審計(jì)、檢測(cè)和分析平臺(tái)，與如火如荼的Android安全分析市場(chǎng)形成了鮮明對(duì)比。已有的針對(duì)iOS的安全分析工具仍停留在簡(jiǎn)單的輔助人工分析階段。國(guó)內(nèi)業(yè)界公司尚未在iOS平臺(tái)二進(jìn)制分析系統(tǒng)上取得重大進(jìn)展。學(xué)術(shù)界提出的各種原型系統(tǒng)很難對(duì)當(dāng)前主流iOS系統(tǒng)上的應(yīng)用程序?qū)嵤┯行Х治?。如何加?qiáng)對(duì)蘋果應(yīng)用商店上應(yīng)用程序的安全審計(jì)并推動(dòng)第三方獨(dú)立檢測(cè)平臺(tái)落地將成為下一階段的熱點(diǎn)。

[1]國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心.第十四次全國(guó)信息網(wǎng)絡(luò)安全狀況暨計(jì)算機(jī)和移動(dòng)終端病毒疫情調(diào)查分析報(bào)告[R]. 2015. NationalComputerVirusEmergencyResponseCenter.14thanalysis ofnationalsecuritysituationofinformationnetworkandinvestigation report on computer and mobile terminal virus[R].2015.

[2]iOS 9.3 or later.iOS security-white paper[S/OL].(2016-05-01)[2016-10-10].https：//www.Apple.com/business/docs/iOS_ Security_Guide.pdf.

[3]Apple’s app store has passed 100 billion app downloads[EB/ OL].(2016-06-08)[2016-10-10].http：//www.theverge.com/ 2015/6/8/8739611/Apple-wwdc-2015-stats-update.

[4]CHARLIE M,DION B,DINO D,et al.iOS hacker’s handbook[M]. NewYork：Wiley,2012.

[5]AppBuyer：new iOS malware steals apple ID and password to buy apps[EB/OL]. (2014-09-12)[2016-10-10].http：// researchcenter.paloaltonetworks.com/2014/09/APPbuyer-new-iosmalware-steals-Apple-id-password-buy-APPs/.

[6]WANG T,JANG Y,CHEN Y,et al.On the feasibility of large-scale infections of iOS devices[C]//The 23rd USENIX Security Symposium (Security),August 20-22,2014,San Diego,CA,USA.New Jersey：IEEE Press,2014：79-95.

[7]Wirelurker：a new era in iOS and os x malware[EB/OL].(2014-11-05)[2016-10-10].https：//www.paloaltonetworks.com/resources/ research/unit42-wirelurker-a-new-era-in-ios-and-os-x-malware. html.

[8]NICOLAS S.iPhone privacy[S/OL].(2012-04-07)[2016-10-10].http：//revenews.com/files/iPhonePrivacydoc.pdf.

[9]LAU B,JANG Y,SONG C,et al.Mactans：injecting malware into iOS devices via malicious chargers[C]//Black Hat USA,July 27-Aug 1,2013,Las Vegas,NV,USA.New Jersey：IEEE Press, 2013.

[10]WANG T,LU K,LU L,et al.Jekyll on iOS：when benign apps become evil[C]//Usenix Conference on Security,August 12-13, 2013,Washington D C,USA.New Jersey：IEEE Press,2013：559-572.

[11]安天實(shí)驗(yàn)室.Xcode非官方版本惡意代碼污染事件（XcodeGhost）的分析與綜述[R/OL].(2015-09-20)[2016-10-10].http：//www.antiy.com/response/xcode/xcodeghost.pdf. Antian Laboratory.Analysis and review of Xcode unofficial version of the malicious code pollution incident(XcodeGhost) [R/OL].(2015-09-20)[2016-10-10].http：//www.antiy.com/response/ xcode/xcodeghost.pdf.

[12]YiSpecter：first iOS malware that attacks non-jailbroken apple iOS devices by abusing private APIs[EB/OL].(2015-10-04) [2016-10-10].http：//researchcenter.paloaltonetworks.com/2015/ 10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-

by-abusing-private-apis/.

[13]Pegasus-針對(duì)iOS設(shè)備的APT攻擊分析[EB/OL].(2016-08-26)[2016-10-10].http：//blog.pangu.io/pegasus-apt/. Pegasus-analysisofAPT attackson iOS devices[EB/OL]. (2016-08-26)[2016-10-10].http：//blog.pangu.io/pegasus-apt/.

Review of iOS malicious application analysis

ZHU Yixiang1,2,ZHANG Kang3,WANG Weiqing4
1.National Engineering Laboratory for Mobile Internet System and Application Security,Shanghai 201315,China 2.Shanghai Research Institute of China Telecom Co.,Ltd.,Shanghai 200122,China 3.Shanghai Branch of China Telecom Co.,Ltd.,Shanghai 200120,China 4.China Telecom Corporation,Beijing 100033,China

The security architecture and distribution of iOS were introduced.The threats to user’s data security and privacy from iOS malicious applications were analyzed.The reasons that the number of iOS malicious applications is less than Android malicious applications were discussed.The attacking methods of emerging iOS malicious applications were summed up.And prospect for future mitigation and confrontation strategies were given.

iOS security,malicious code,malicious application

TP309

A

10.11959/j.issn.1000-0801.2017048

朱易翔（1979-），男，中國(guó)電信股份有限公司上海研究院互聯(lián)網(wǎng)安全部副主任，負(fù)責(zé)移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室技術(shù)研發(fā)工作，主要研究方向?yàn)榘踩w系與架構(gòu)、安全攻防與漏洞發(fā)掘、移動(dòng)應(yīng)用安全檢測(cè)等。

張慷（1969-），男，中國(guó)電信股份有限公司上海分公司信息網(wǎng)絡(luò)部經(jīng)理、高級(jí)工程師，主要研究方向?yàn)樾畔踩芾?、云安全?/p>

王渭清（1980-），男，中國(guó)電信集團(tuán)公司工程師，主要研究方向?yàn)樾畔踩芾?、大?shù)據(jù)安全。

2017-01-05；

2017-02-14