網(wǎng)絡安全公司Zimperium最新研究報告警示，iOS設備正面臨日益增長的威脅，尤其是來自未經(jīng)審核及側(cè)載（sideloaded）移動應用的風險。盡管iPhone通常被認為具備先天安全性，但該公司的分析顯示，某些應用能夠悄然繞過蘋果的防護機制，使用戶和企業(yè)暴露在風險之中。

這份基于真實事件和主動威脅研究的報告指出，攻擊者正越來越多地通過權限提升、濫用私有API（Application Programming Interface，應用程序編程接口）以及完全繞過蘋果應用審核流程的側(cè)載漏洞等手段針對iOS系統(tǒng)發(fā)起攻擊。

可信設備中的隱形風險

移動設備已成為企業(yè)運營的核心工具。然而Zimperium指出，多數(shù)企業(yè)仍忽視了一個最常見的安全薄弱環(huán)節(jié)：第三方應用，尤其是那些非官方App Store來源的應用。

即使是看似無害的應用也可能濫用權限或攜帶隱藏惡意代碼。例如，手電筒應用若要求獲取通訊錄或麥克風訪問權限，可能不會立即引發(fā)懷疑，但Zimperium強調(diào)此類請求可能導致敏感數(shù)據(jù)外泄或系統(tǒng)淪陷。

第三方應用商店和側(cè)載應用風險更高。這些應用繞過了蘋果的安全檢查，可能利用未公開的系統(tǒng)特性或植入有害組件，悄無聲息地追蹤用戶或訪問企業(yè)系統(tǒng)。

現(xiàn)實攻擊案例：TrollStore、SeaShell與MacDirtyCow

報告重點列舉了攻擊者成功利用iOS漏洞的多個實際案例：

(1) TrollStore利用蘋果CoreTrust和AMFI模塊的已知漏洞，通過修改授權（entitlements）實現(xiàn)應用側(cè)載。這些通常僅限于系統(tǒng)級功能的授權，可使應用繞過沙箱機制或悄無聲息地監(jiān)控用戶。

通過TrollStore分發(fā)的應用常偽裝成無害工具，實則可能秘密訪問系統(tǒng)日志、錄制音頻或連接外部服務器，為完全控制設備打開方便之門。

(2) SeaShell作為公開可獲取的漏洞利用后（post-exploitation）工具，基于該技術實現(xiàn)遠程控制被入侵iPhone。攻擊者能通過安全連接提取數(shù)據(jù)、維持持久化訪問及操控文件。Zimperium已監(jiān)測到通過非官方渠道傳播的SeaShell惡意軟件樣本。

(3)MacDirtyCow（CVE-2022-46689）則利用iOS內(nèi)核中的競態(tài)條件（race condition）臨時修改受保護系統(tǒng)文件。雖然修改在重啟后失效，但已足夠篡改iOS權限或繞過限制。新近出現(xiàn)的KFD漏洞采用類似手法針對更新版iOS系統(tǒng)。

這些案例共同表明，攻擊者能在用戶毫無察覺的情況下，將訪問權限提升至遠超授權范圍。

企業(yè)為何必須重視

此類威脅后果嚴重：基于應用的攻擊導致的數(shù)據(jù)泄露可能造成經(jīng)濟損失、監(jiān)管處罰及長期聲譽損害。受嚴格合規(guī)要求約束的醫(yī)療、金融等行業(yè)風險尤甚。

Zimperium披露已識別超過4萬款濫用私有授權的應用及800余款調(diào)用私有API的應用。其中雖可能存在合法的內(nèi)部工具，但多數(shù)實屬惡意。缺乏嚴格審核機制時，幾乎無法區(qū)分安全與危險應用。

強化應用安全防護建議

Zimperium建議企業(yè)采取多層次防護策略：

• 嚴格應用審核：在企業(yè)設備部署應用前進行靜態(tài)與動態(tài)分析，識別權限濫用、API誤用或沙箱規(guī)避等可疑行為
• 權限監(jiān)控：拒絕功能與權限需求不匹配的應用
• 側(cè)載應用檢測：監(jiān)控第三方應用商店使用情況——這是惡意軟件的常見傳播渠道
• 開發(fā)者憑證分析：驗證應用來源并識別聲譽風險

此外，Zimperium移動威脅防御（MTD，Mobile Threat Defense）平臺可自動檢測側(cè)載應用、系統(tǒng)入侵及行為異常，幫助及早發(fā)現(xiàn)威脅并阻斷惡意活動擴散。

未來防護方向

隨著攻擊者不斷找到繞過移動安全的新方法，企業(yè)必須將重心從事后處置轉(zhuǎn)向事前分析。應用審核不再可選，而成為保護移動終端安全的關鍵環(huán)節(jié)。

面對TrollStore、SeaShell等活躍威脅，以及MacDirtyCow和KFD漏洞的持續(xù)濫用，移動安全團隊容錯空間極小。Zimperium的警示十分明確：不要僅因應用能在iOS運行就輕信其安全性，必須清楚其功能、來源及行為模式。