苹果安全

苹果OS X Yosemite（10.10）来了，让我们来看看它为我们提供了哪些安全视角。苹果实际上专辟了一个页面，专门讨论OS X的安全性，此页面的文字说明冗长 － 非常长，但易读易懂。唯一遗憾的是，其中并没有多少内容与新功能相关。 首先，苹果声明说安全性是”首要考虑因素”。这种说法在当今受到用户的极度追捧。事实上应该是一贯如此，但并非所有开发者都会在构建产品之初就将安全性考虑在内。苹果是这么做的，至少它是这么说的。 涉及的大多数安全工具都有具体名称 － Gatekeeper、FileVault等等。虽说给工具起名字算是一种推广手段，但确实也让人顾名思义，用户一看就知道工具的用途。下面让我们挨个了解下这些安全工具。 Gatekeeper 这不算是一项新工具（OS X Mountain Lion 10.8中已经有此工具），它用于保护Mac不受恶意软件的攻击，也能避免”从互联网下载行为不当的应用”。这个工具的用途和行为与Windows的用户帐户控制（UAC）非常类似。简而言之，Gatekeeper会检查从非Mac App Store下载的应用是否具有正确的开发商标识。如果没有，则不会启动此应用，除非更改相应设置。 默认情况下，Gatekeeper支持用户从Mac App Store下载应用，也支持下载具有开发者标识的应用。若没有开发者标识，则会阻止应用，但你可手动管控此设置。其他选项包括”任何来源”（最不安全）和”Mac App Store”（其他来源全部排除在外，是安全性最高的设置）。 FileVault 2 此安全工具用于对Mac电脑进行全驱动器加密，是通过XTS-AES 128加密方法来保护数据。苹果称初始加密速度快，可在后台执行，不影响工作。它还可加密任何可插拔驱动器，帮助用户保护Time Machine备份或其他外接驱动器。 RT @threatpost:

昨天，一款名为WireLurker的全新系列恶意软件突然出现，让人猝不及防。该恶意软件能够感染运行苹果移动iOS平台的设备以及台式机的Mac OS X操作系统。网络安全公司Palo Alto Networks发现了这一威胁，并认为WireLurker可能会将与日俱增的苹果恶意软件带向一个全新领域。 近年来，专家不断警告人们要小心针对苹果系统的恶意软件潮即将来临，而狂热的果粉们则以同样夸张的方式回应称，苹果设备对恶意软件完全免疫。但和其他事物一样，现实情况总是介于两种极端说法之间：苹果恶意软件确实介于两者之间，但散播范围远不如Windows和安卓系统恶意软件如此之广。 “WireLurker被用于在麦芽地苹果商店中的467个OS X应用中植入木马病毒。麦芽地是中国地区的一家第三方Mac应用商店。”Palo Alto Networks的研究人员Claud Xiao说。”最近6个月，有467款受感染的应用被下载了356,104次，受影响用户可能达到数十万。” 卡巴斯基实验室的产品可以检测到这一威胁，并当作木马病毒Downloader.OSX.WireLurker.a予以拦截，所以您若使用的是卡巴斯基，则可完全安枕无忧。 须明确的一点是：虽然此威胁只感染了中国一个流行应用商店中的用户，但这并不意味着不会再散布到其他地方。 但有意思的是，WireLurker与之前大多数iOS威胁不同，它甚至能感染没有越狱的设备。这也是为什么Palo Alto Networks认为WireLurker很可能会成为苹果恶意软件发展过程中的分水岭的原因。但这只是五大原因中的其中一个原因。 其他四个原因分别是：WireLurker的传播规模相当之大，之前的苹果恶意软件系列与之相比可谓小巫见大巫；这是第二个能够通过USB攻击iOS设备的已知威胁（如通过USB接口插入Mac的iOS设备）；它能自动生成恶意应用；也是已知恶意软件中，第一个能感染出厂安装的iOS应用的病毒。 #WireLurker苹果#恶意软件感染#OSX设备，然后通过USB接口将自身复制到#iOS设备 WireLurker的工作方式如下：借助标准感染载体先感染Mac设备，然后等待用户通过Mac设备的USB端口连接iOS设备。一旦连接后，WireLurker即会在iOS设备上自动安装恶意程序。尤其是会搜寻三种常用应用 — eBay中国版、PayPal和一种流行的照片编辑器。恶意应用安装后，WireLurker会卸载这些应用的合法版本，而用恶意版本取而代之。 研究人员称，WireLurker还处于积极开发阶段，因此很可能会变化，目前还没法确定它的目的是什么。就在本文发布前不久，Palo Alto Networks告诉Threatpost说，苹果公司已迅速采取行动，撤销了WireLurkers的恶意证书，并且此病毒的作者们已经收手，不再继续恶意软件开发行动。 Palo Alto Networks提供了各种有关如何避免网络感染WireLurker的提示。其中大多数建议是针对企业的，但其中有些内容我们想再次强调，以保护您的设备： 1.运行反病毒软件并实时更新。 2.检查OS X操作系统的”系统偏好设置”>”安全性与隐私”，在”允许从以下位置下载的应用程序”中，选中”App

在网络安全播客改版后的首期节目中，来自Threatpost的Brian Donohue和Chris Brook对时下有关网络安全的热门话题展开了讨论，讨论内容包括：家得宝客户数据外泄事件；iCloud女星艳照门事件对iPhone 6推出造成的影响；微软trustworthy computing部门时代的终结；以及必不可少的，互联网广为传播的Bash bug（也叫做”Shellshock漏洞”），影响了Linux和Unix系统。 数据外泄 TripAdvisor的子公司Viator（于今夏以2亿美元被前者收购）告知了1400万客户其包括用户名和密码在内的个人数据遭到外泄。该事件还波及到了三明治连锁公司Jimmy John’s，它的216家分店和108家餐厅遭受影响，该连锁公司也同样在其官网上刊登了有关此次数据外泄事件的通知。Goodwill也确认公司遭受长达18个月的客户数据外泄，受影响客户数量尚未得知。家得宝则遭受到有史以来最为严重的一次数据外泄，竟然波及到5600万张支付卡，受影响范围远超Gmail数据外泄事件（于2013年爆发的该事件造成马萨诸塞州20%居民的个人数据遭到外泄）。 苹果 在9月，苹果终于揭开了其年度9月产品的神秘面纱。不幸的是，苹果新产品发布时间恰巧正值影响恶劣的iCloud入侵事件爆发不久，因此对其造成的影响可见一斑。在此次事件中，众多好莱坞女星的私密照片遭到曝光，并公然发布在互联网上。苹果随即采取措施，不仅扩大了iCloud双重认证的安全级别，并随即修复了显然会导致数据外泄的登陆限制漏洞。总部位于加利福尼亚州库比蒂诺的苹果公司还发布了iOS8系统，正如苹果首席执行官蒂姆•库克（Tim Cook）所宣称的那样，苹果无法查看用户的email或iMessage内容，也没有能力将此类内容信息交予执法机构。 Trustworthy Computing小组 微软宣布将解散trustworthy computing小组，该工作小组10年如一日始终奋战在网络安全领域的第一线。微软公司表示正在计划将其多个安全业务更完整地整合入公司，并将trustworthy computing小组的各成员安排到公司的其他各支团队中，共同致力于开发特定产品和项目。 Bash 一种在互联网上广泛传播的bug，也叫做”Shellshock漏洞”，在Bourne Again Shell bug（Bash）中出现。我们曾在近期写过一篇有关的文章，其中详细解释了什么是”Bash漏洞”及其影响甚广的原因。 # 网络安全播客#：@Threatpost #安全记者#@TheBrianDonohue和@Brokenfuses讨论#shellshock#和其它新闻。

在本周，一种新的互联网bug出现在了Bourne again shell（Bash）内，并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知，但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中，你甚至还能看到本地的新闻主持人对这一话题的讨论，而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash？ Bash是一种脚本语言和命令行外壳程序，于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识，请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外，在数量众多的Web服务器以及家用电器（包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统）中，也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间（或许已超过20年），你可以想象其传播范围之广。与Heartbleed漏洞一样，我们只能期望Chazelas是第一个发现这一bug的人，但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响？ 过不了多久，互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时，使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说，只要拥有一款成功的漏洞利用工具，攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统遭受控制，因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候，我们的卡巴斯基实验全球研究与分析团队（GReAT）的朋友是这样作答的： “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统受到控制，因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息，从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证，但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是：网络攻击者将你使用最频繁的银行网站作为攻击目标，并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度： “该漏洞被行业标准机构评为’高’影响度（CVSS影响分值：10）和’低’复杂程度，这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量，并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫，因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同，后者是影响程度高但难以利用，而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式？ 如何才能保护自己免受Bash漏洞的影响？ 除了永久地远离网络以外，为保护系统安全，你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统，你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

上周，苹果依照惯例在全球开发者大会上发布了最新版手机操作系统。总部位于加州库比蒂诺的苹果公司此次推出的iOS 8号称是”全球最先进的手机操作系统”。这一说法显然颇有争议，但新平台确实有一些设计周密的安全隐私功能，此外还对应用开发环境进行了重大改革。 新系统中对安全隐私的改进最大，即随机生成介质访问控制（MAC）地址，但很可能这也是用户最容易忽视的。MAC地址是一种唯一标识，广泛用于跟踪Wi-Fi网络上的设备和用户行为。据称，用户连到公用Wi-Fi网络并与其进行交互时，零售商和其他各方可通过跟踪MAC地址来更多地了解用户的行为。 但问题是，很多用户对此跟踪完全不知情，这也意味着用户可能根本就不同意被跟踪，至少在传统意义上是这样。 在iOS 8中，无线网络扫描苹果的i系列设备时，这些设备将生成随机MAC地址。这样零售商就无法跟踪商店内客户的活动和其他行为。随机生成MAC地址对于许多根本没意识到被跟踪的苹果迷来说，是隐私保护方面的巨大进步。 随机生成MAC地址是对于许多根本没意识到被跟踪的#苹果迷来说，是#隐私保护方面的巨大进步。 另一个很不错的安全隐私改进是，支持用户将DuckDuckGo作为Safari浏览器中的默认搜索引擎。DuckDuckGo是一种替代搜索引擎，它不会根据搜索查询收集用户信息或其他任何相关信息。而且，DuckDuckGo会尽可能确保用户通过加密的HTTPS连接与网站进行交互。搜索DuckDuckGo从某种意义上来说系统性更强，因为查询不会根据感知到的用户关注内容进行定制，而这是其他引擎的通用做法。 当然，本发行版中还包罗了各种更华丽且实用的功能。照片将在所有连接设备上共享，用户能够轻松将语音添加为短信（我想这是电话应该具有的功能），此外，苹果还高调推出了更简洁的全新通知界面。显然，在各设备之间实现照片共享未来可能会出现各种隐私和安全问题，但就目前来看，还没有什么明显的安全问题。 然而，一些与家庭共享功能一并提供的新键盘功能，更深层次的iCloud集成，以及新平台明显的雄心壮志，要吸引更多的应用开发，这些都会对安全隐私产生重大影响。 苹果称，新的软件开发者工具包（SDK）是App Store发布以来最大的一个开发工具包，应用编程接口（API）超过4000个。如果我们对苹果的新闻稿解读无误的话，这些举措和新的应用编程语言很可能会使App Store更为开放，环境类似Google Play（但苹果的预审查政策仍生效）。一方面，这意味着会有更多应用发布到App Store；另一方面，这也意味着面临着更多威胁，当然这并不一定会对用户构成威胁，具体取决于苹果如何在已改变的环境中应对安全性。 新的开发者工具包中，我们将密切关注的一个工具包的”HeathKit”。此工具包支持开发人员构建运动健身应用，以更适合用于彼此交流，分享从健身计划到血压水平等各种用户信息。近年来，市面上运动健身类应用层出不穷，数量激增。但上个月，美国联邦贸易委员会发布的一份报告中警告说，运动健身类应用在获取和共享用户信息方面”胃口”过大，这引起了我们的关注。为不同应用提供彼此共享这些数据的能力（即便用户允许应用这样做，因为授予权限实际上被视为同意这样做）只会加剧这一问题。但平心而论，如果发布一些个人数据能促使用户加强锻炼，那么这可能是一种理智的取舍。 HomeKit是另一个相关API。它使开发人员有能力构建与现代化住宅不断增多的连接和”智能化”进行交互的应用。如果您定期阅读《卡巴斯基中文博客》，那么一定会知道住宅自动化系统安全性差强人意。苹果称，此工具包在安全性上已全部进行配对（这可能意味着通过某种方式使用了加密）和配置。但在打入开放市场之前，很难说安全性到底怎么样。 如果新的App Store像安卓一样对企业开放，那么我们可能会看到更多恶意应用纷涌而入。 总之，新版本看起来确实是对苹果现有开发环境的彻底革新，这着实让人兴奋不已。因为这意味着会有更新、更有创意的应用出现，包括第三方键盘、窗口小部件等等。但同时也让人略感担忧，因为与创新随之而来的是更多攻击接口和更棘手的攻击。如上所述，如果新的App Store像安卓一样对企业开放，那么我们可能会看到更多恶意应用纷涌而入。 如果要从本质上了解这种新的应用开发业务将以何种方式影响安全性，尤其是相对于安卓系统，请参阅Andrew Cunninghamrs在Ars Technica博客上发布的文章中的第二页，此文对此问题进行了详细阐述。 除了我们讨论过的内容外，使用新键盘时，”将根据过往的对话内容和书写风格，显示后续可能会输入的字词或短语供您选择。”此外，”iOS 8还考虑到了用户可能在短信中使用的书写网络较随意，而在邮件中则可能使用更正式的语言”，”还根据交流对象调整显示的预测内容，因为与伴侣对话时所选的字词肯定要比和老板对话中使用的更随意。”总之，这些功能意味着苹果将收集更多用户信息，这必然会影响到隐私性，不管这样做能带来多大程度的便利。iCloud提高了文件存储容量，用户可以在一个位置存储更多敏感信息，这也相应要求用户熟悉并启用该服务提供的安全功能。但同时，也意味着需要采取更多方法来备份和保护用户敏感数据。 通过新的”家庭共享”功能，用户有能力将自己的设备与设为其家庭成员的其他用户完全同步。此功能的优点是加强了家长控制，但风险也显而易见，它为新的潜在攻击开辟了一条新的途径 － 类似于最近报告中所报告的黑客利用iCloud访问锁定手机。我们将拭目以待黑客是否可能暗中将自己设为家庭成员，从而监视用户行为，窃取设备数据。