Google爆出Apple的图像I / O有一个重大漏洞，无辜的用户躺在枪里

作者马超

负责编写

日落

封面图。 CSDN付费从Vision China

下载| CSDN（ID：csdnnews）

4月28日，Google的项目零信息安全团队宣布了它在Apple映像I / O中发现的一些错误。映像I / O库是IOS，Mac OS，watch OS和tvos共享的多媒体库 。 因此，谷歌暴露的这种缺陷几乎影响了苹果的每个主要平台。 如果黑客利用这些漏洞，则很可能导致用户遭受“零点击”攻击。 幸运的是，苹果在Google发布这些错误之前已修复了这些错误。

和此问题是由图像I / O图像格式解析器引起的。 我们知道黑客经常攻击图像解析框架。 通过制作格式错误的媒体文件，我们可以利用图像解析程序的漏洞在目标主机上执行恶意代码。

零日漏洞和项目零

我们知道，在信息安全社区中，常规团队将在漏洞修复后选择打开漏洞，也就是说，当漏洞打开时，威胁将不复存在。 “零日”漏洞对应于正式渠道发布的漏洞，也称为零时差攻击，是指被发现后立即被恶意利用的安全漏洞。 一般来说，在暴露安全补丁和缺陷的当天，就会出现相关的恶意程序。 这种攻击通常是突然的和破坏性的。 尽管

尚未出现大量的“零日漏洞”攻击，但其威胁日益增长。 例如，著名的勒索病毒wannacry使用的“永恒蓝”就是典型的零日漏洞。 “永恒的蓝”造成了150个国家和30万用户的招募，损失高达80亿美元。 针对

的零日漏洞，Google启动了零项目计划（官方博客：https：//google.projectzero.blogspot.com/），并表示：“我们的目标是大幅减少针对性的网络攻击。我们将聘请 最佳，周到和实用的安全研究人员来改善整个Internet的安全性，并全力以赴地投入100％的时间和精力

Project Zero的阵容与梦想团队一样豪华，其团队成员包括新西兰人Ben Hawkes 他在2013年发现了Adobe Flash和Microsoft Office中的大量漏洞，以及英国的“零日漏洞调查” Ormandy的英国著名专家TAVIS），成功破解了Google的Chrome操作系统的George Hotz和Brit Ian beer ，是一位神秘的瑞士黑客，他在Apple的IOS，OSX和Safari浏览器中发现了多个漏洞，其中大多数无法在Google总部办公，并且使用专业的漏洞搜索工具来扫描目标软件 是，以便找到可能包含漏洞的系统和软件设计。 根据目前的情况，零项目团队确实致力于减少整体Internet网络攻击，不仅专注于Google自己的产品线，而且还取得了出色的成就。 它已成功找到Windows记事本等多个高风险漏洞，并防止了Internet安全事件的发生。

为什么多媒体组件是黑客最喜欢的

在各种主流操作系统中，都会有自动文件分类功能，用户可以在文件浏览器中分类和浏览语音，视频，图片等。 这意味着操作系统将自动解析任何新的多媒体文件，并且该解析操作不需要与用户进行交互，这就是将此类事件称为“零点击”漏洞的原因。 而且，多媒体解析类库的代码通常是跨平台的，也就是说，其行为在每个操作系统中都是相同的。

扩展全文

正是由于上述原因，使得多媒体解析类库成为黑客最理想的攻击点，因为他们可以在足够多的系统上运行恶意代码，甚至不需要与用户进行交互。 黑客要做的就是找到一种方法，将格式错误的多媒体文件发送到设备，并等待文件被处理，直到触发漏洞代码。 在当今互连的世界中，交换图像和视频是最常见的用户交互之一。 因此，在SMS，电子邮件或社交通讯发送的图像中隐藏恶意代码是一种非常隐蔽且有效的攻击方法。 图像I / O是

漏洞的主要特征，是Apple设备中使用的Apple图像解析和处理类库。 由于图像I / O在Apple应用程序生态系统中的核心作用，因此它是危险的攻击面。 它实质上为任何攻击者提供了零命中的入侵媒体，因此需要尽可能确保安全性。 Google Project Zero小组的

成员介绍说，由于Apple未打开图像I / O源代码，因此他们使用模糊技术来测试图像I / O如何处理格式错误的图像文件。 模糊过程为图像I / O提供了意外的输入，以便在框架代码中检测异常和未来攻击的潜在入口点。 最终，项目零团队在映像I / O中发现了六个漏洞，并在另一个与映像I / O集成的开源库openexr中找到了八个其他漏洞。但是，Google并未验证这些漏洞是否可用于获得最高的许可。 设备，因为这不是他们工作的目的。 但是我相信这些漏洞中必须存在最高级别的安全缺陷。 但是，零项目团队成员也警告说，由于缺乏可见性和对框架源代码的访问，他的工作很可能是不完整的。 当前发现的漏洞仅是暴露imageI / O和其他Apple图像以及多媒体处理组件问题的开始。 这些图像类库对非法黑客非常有吸引力。 如上所述，图像的类型漏洞可用于创建“零点击”攻击。 目前，避免

的最简单方法是拆分映像I / O。例如，在stagefright漏洞爆发后，Google拆分了MediaServer类库并授予了不同的访问权限保护，这使得攻击更难实现。 当然，直接使用Android的MediaServer类库对于苹果来说可能是个好方法。 随着越来越多的全球间谍软件和监视软件供应商，黑客正在寻找一种简单有效的方法来销毁系统，而图像解析类库则提供了最方便的方法。 根据作者的观察，就信息安全而言，红方占主导地位的情况正在缓慢变化。 因此，该行业还需要高度重视安全性的新趋势，以防止IT行业发生勒索病毒的悲剧。