#CSDN#谷歌爆苹果 Image I/O 存重大漏洞，无辜用户躺枪

【#CSDN#谷歌爆苹果 Image I/O 存重大漏洞，无辜用户躺枪】

本文插图
作者 | 马超
责编 | 夕颜
封面图 | CSDN付费下载自视觉中国
出品 | CSDN（ID:CSDNnews）
4月28日，谷歌旗下的Project Zero信息安全团队公布了其在苹果公司的Image I/O 中发现的一些bug 。 Image I/O库是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒体库，因此谷歌曝光的这一缺陷，几乎影响苹果的每一个主要平台。如果黑客利用这些漏洞加以攻击，那么很可能导致用户遭遇“零点击”攻击事件。不过值得庆幸的是在谷歌公布这些漏洞之前，苹果已经对其进行了修复。
而该问题又是Image I/O图像格式解析器所造成的，我们知道黑客经常对于图像解析框架进行攻击，通过制作畸形的媒体文件，可以利用图像解析程序存在的漏洞，在目标主机上执行恶意代码。
零日漏洞与Project Zero
我们知道在信息安全界，正规的团队都会选择在漏洞修复之后，再对漏洞进行公开，也就是漏洞公开时，其威胁已经不存在了。而“零日漏洞”(zero-day)则与这种正规渠道公布的漏洞相对应，也称零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
虽然还没有出现大量的“零日漏洞”攻击，但其威胁日益增长，比如之前著名的勒索病毒WannaCry所利用的“永恒之蓝”就是一个典型的零日漏洞， “永恒之蓝”造成150个国家、30万名用户中招，损失高达80亿美元。
而为了应对零日漏洞，谷歌推出了Project Zero计划（官方博客：https://googleprojectzero.blogspot.com/），并表示：“我们的目的是为了大幅减少有针对性的网络攻击。我们会聘请最好的、有想法且具备实践能力的安全研究人员来改善整个互联网的安全，并为之付出其100%的时间与精力。
Project Zero的阵容，有如“梦之队”一般的豪华。其团队成员包括曾在2013年发现存在于AdobeFlash及微软Office中大量漏洞的新西兰人本·霍克斯（Ben Hawkes）、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪（Tavis Ormandy）、成功破解谷歌Chrome操作系统的乔治·霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特·伊恩·贝尔（Brit Ian Beer）等等。他们大多数都可以不在谷歌总部办公室办公，并使用专业的漏洞查找工具对目标软件进行扫描，从而发现有可能包含有漏洞的系统、软件设计。从目前的情况看Project Zero团队的确是致力于减少整体互联网的网络攻击，而并不仅将眼光局限于在谷歌自有的产品线，而且目前战功卓越，已经成功发现了如Windows记事本等多个高危漏洞，并阻止了互联网安全事件的发生。
为什么多媒体组件是黑客最爱
在目前各类主流的操作系统当中，都会有文件的自动分类功能，用户可以在文件浏览器中对于如声音、视频、图片进行分类浏览。这也就是说任意一个新多媒体文件，都会自动地被操作系统解析，而这个解析操作是不需要与用户进行交互的，这也是此类事件被称为“零点击”漏洞的原因。而且多媒体解析类库，代码一般跨平台的，也就是其行为在各个操作系统相同。
正是由于以上原因，使得多媒体解析类库成为黑客最理想的攻击点，因为它们能够在足够多数量的系统上运行恶意代码，甚至不需要与用户交互。黑客所要做的就是找到一种方法，将格式错误的多媒体文件发送到设备，等待文件处理，直到漏洞代码触发。在当今互联的世界中，交换图像和视频是最常见的用户交互之一。因此，将恶意代码隐藏在通过短信、电子邮件或社交发送的图像中，是非常隐蔽而且高效的攻击方法。