欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

国内近一半的苹果iOS系统用户没有升级最新版本,轻易受已知高危破绽漏洞bug的侵犯

来源:本站整理 作者:佚名 时间:2017-09-13 TAG: 我要投稿

除统计每一个安全更新修复的破绽漏洞bug总数外,咱们还对版本进级中修复的内核破绽漏洞bug数目(可被利用得到体系最高权限)和Webkit代码履行破绽漏洞bug数目(可被利用实现长途攻击入侵)零丁停止了统计:

● 内核破绽漏洞bug:包括内核回绝办事、内核信息透露、内核代码履行等多种分歧类型的破绽漏洞bug。一次完备的内核攻击入侵平日是对一个破绽漏洞bug间接利用或多个内核破绽漏洞bug组合利用实现的。一旦破绽漏洞bug利用胜利,将会间接得到体系最高权限履行随意率性代码,用户的一切信息也会被攻击入侵者随意马虎得到。如表2所示,惯例版本进级险些每次都邑修复内核破绽漏洞bug。;

● Webkit中的可履行破绽漏洞bug:Webkit是iOS体系浏览器的焦点履行引擎,其攻击入侵道路随意马虎,迫害水平高。受害者无需装置利用,点击链接即可被长途攻击入侵。如表3所示,Webkit代码履行相干的破绽漏洞bug数目较内核更多,平日会修单数十个。固然iOS的安全更新阐明中隐约描写了破绽漏洞bug概况,许多都能够经由过程CVE编号在exploit-db等地下渠道得到PoC。
表3. 各版本修复内核破绽漏洞bug数目和Webkit代码履行破绽漏洞bug数目统计

各版本修复内核破绽漏洞bug数目和Webkit代码履行破绽漏洞bug数目统计

iOS体系安全生态面对碎片化成绩

因为苹果公司的关闭战略,硬件方面严格控制了运转iOS的机型数目;软件方面,只要体系大版本(平日每年一次)宣布才引入API的更改。是以,从开辟的角度看,iOS体系的开辟生态面对的碎片化成绩不大。

表4. iOS小版本数目统计

iOS小版本数目统计

然则,如表4所示,曩昔四年宣布的四个iOS大版本中共涵盖了45个小版本的进级。这意味着iOS体系每一次带有安全更新的小版本进级都将把全部iOS安全生态的体系散布停止一次切割。每一个小版本都邑有部门的残留用户,只要不停坚持进级到最新体系的用户才能够最大限度的免受安全威逼。是以,从安全的角度看,iOS安全生态也会面对碎片化的成绩。

值得注意的是,iOS体系进级必要苹果办事端验证,办事端只容许iOS体系进级至以后的最新版,这类进级战略在必定水平上能够防止用户在部门中央版本有滞留,减缓安全生态碎片化的成绩。

然则,现实的统计成果表现,iOS安全生态碎片化成绩仍旧存在,用户抉择不进级的带来的安全隐患不容忽视。

别的,咱们还统计了自7月19日iOS 10.3.3正式宣布以来,海内iOS用户体系的进级趋向。如图3所示,iOS 10.3.3重要来自10.3.2的用户,这部门用户进级习气较好,会在接到新版本关照时实时进级体系。进级体系的装备中,近80%在宣布后新版本的三周以内抉择了进级,随后全部进级趋向放缓。别的各残留旧版本均有大批用户抉择进级,全体占比有微小的降低趋向,但大多数用户仍旧抉择停留在旧版体系。

海内iOS用户进级趋向

图3. 海内iOS用户进级趋向

结语

固然苹果强迫进级最新版的战略在必定水平上能够减缓安全生态的碎片化,从现实的统计环境来海内近折半的iOS装备并不能实时进级,安全生态的碎片化成绩仍旧存在。近期iOS 11会正式宣布,在供给新功效同时,还会修复大批安全破绽漏洞bug,倡议宽大用户在前提容许的环境下实时进级到最新版本,防止遭到高危破绽漏洞bug影响。同时咱们也呐喊手机厂商采纳更有用的技巧掩护通俗用户,防止他们遭到已知高危破绽漏洞bug的威逼。

iOS 体系素来以其良好的安全性深得宽大用户的信任,特别是其安全进级速率与安卓比拟有显著上风。然则依据baidu安全实验室对上亿台海内iOS装备体系版本统计发明,iOS 10.3.3 于 7.19 日宣布至今已有 50 天,唯一 54% 的用户进级到了最新的 iOS 10.3.3 体系,残剩的近折半海内 iOS 装备仍旧停留在受高危破绽漏洞bug影响的旧版体系。即使最新的 iPhone7 系列机型,也有近 32% 的装备没有实时进级。而这些旧版本的多个高危破绽漏洞bug的利用办法曾经被地下,未进级用户面对着严格的安全危险。咱们呐喊 iOS 用户尽快进级,也呐喊手机厂商采纳更有用的技巧掩护通俗用户,防止他们遭到已知高危破绽漏洞bug的威逼。
近折半海内 iOS 用户面对高危破绽漏洞bug威逼
安全实验室对海内上亿台iOS装备的体系版本停止了统计,打消虚伪装备滋扰后成果表现,今朝海内进级到最新的iOS 10.3.3体系的装备仅占54%。仍旧有近半的iOS装备疏散停留在别的44个分歧的旧版iOS体系。这些运转旧版iOS体系的装备将面对前文中枚举的各个高危破绽漏洞bug带来的安全危险。
详细的体系版本比例散布如图1所示,从左半部门开端,逆时针偏向按新旧版本顺序顺次为最新的iOS 10.3.3到4年前的版本iOS 7。此中,最新的iOS 10.3.3体系占比53.6%;iOS 10的旧版本重要以10.3.2 (占比8.2%)和 10.2.1(占比6.2%)为主,10.2与10.1.1各占3%,残剩7个iOS 10旧版本公占比6.9%;仍有跨越18%的用户停留在iOS 10以前的版本,宣布曾经两年的iOS 9 占比11.9%,宣布曾经三年的iOS 8 占比 6%。
别的,咱们对重要机型类别的体系版本比例停止了统计,成果如图2所示,自左至右分别为iPhone7系列(2016年9月宣布),iPhone6s系列(2015年9月宣布), 更老的iPhone型号,iPad Pro系列和别的iPad系列。5类装备型号都必定比例的碎片化成绩,即就是今朝最新的iPhone7系列手机,也有近32%没有进级到最新的10.3.3体系。

图1. 海内 iOS 装备体系版本散布

图2. 分歧机型类别的体系版本散布
多个高危破绽漏洞bug利用被地下,影响iOS10.3.3以前一切版本
每次iOS体系宣布新版本后,新版本已修复的部门破绽漏洞bug细节和利用办法会被研讨者地下,部门破绽漏洞bug利用的完备代码也会地下宣布供研讨交换。在为安全社区作出进献的同时,也为歹意攻击入侵者供给了方便的攻击入侵前提。歹意攻击入侵者也能够从地下渠道得到相干利用代码,联合部门Webkit破绽漏洞bug利用,乃至能够实现从点击链接到得到Kernel权限的完备攻击入侵。假如用户没有实时更新到最新版的iOS体系,将面对严格的安全威逼。

上一页  [1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载