随着 iPhone 17 的推出,持续活跃的硬件软件防御功能首次亮相。
它旨在打破基于内存损坏的攻击链 - 这是针对加密钱包和 Passkey 的众多攻击的根源 - 得益于内存完整性强制 (MIE) 技术,这是一种控制内存访问以减少攻击面而无需用户干预的机制( Apple 安全研究)。
本质上,这种保护措施在后台运行,旨在在滥用行为导致代码执行之前将其拦截。多年来,像OWASP Mobile Top Ten这样的组织和安全项目一直强调在移动设备上采取以内存安全为导向的对策的重要性。
根据对预发布版本(2025 年 9 月)进行测试的分析师团队收集的数据,MIE 在实验室场景中多次阻止了基于内存标记的经典利用尝试。
接受咨询的行业分析师还指出,MIE 的引入增加了将内存错误转化为有效漏洞所需的技术复杂性,从而将攻击者的资源转移到效率较低的载体上。
MIE 简介:它是什么以及为什么现在
MIE 是一种内存完整性保护,它引入了对进程对指针和内存区域的访问的系统控制。
目标是控制诸如缓冲区溢出和释放后使用 (UAF) 之类的漏洞,这些漏洞通常是旨在窃取或操纵签名操作的零日攻击的基础。在此背景下,该方法旨在减少漏洞利用链的典型操作空间。
各种公开的分析,例如来自Google Project Zero和微软安全响应中心的分析,都强调,60% 到 70% 的“在野”利用的漏洞涉及内存安全问题(数据更新至 2025 年)。
需要注意的是,正是出于这个原因,Apple 将 MIE 定位为始终处于活动状态的防御层,以保护内核和用户进程。
官方详细信息:内存完整性执行 - Apple 安全研究。
具体来说
- 将标签分配给内存区域并将指针与相应的标签关联,从而在两者之间创建可验证的链接。
- 验证每次访问:如果指针与内存标签不匹配,则立即阻止操作。
- 记录事件并阻止攻击的继续,从而降低攻击链的有效性。
实际示例:签名期间的 UAF
典型场景是签名库释放一个对象,恶意代码试图重用相关指针来执行任意代码。
对于 MIE 来说,指针的不当重用会导致标签错位:访问被拒绝,导致漏洞利用失去稳定性,并阻止对签名过程的操纵。也就是说,合法操作仍可继续,而滥用尝试则会被阻止。
加密钱包和密钥:对用户有何变化
许多针对钱包和密码的攻击旨在在签名操作期间拦截或篡改敏感数据。MIE 缩短了这些攻击窗口,使得从漏洞升级到密钥泄露变得更加复杂。
据行业媒体报道,安全公司 Hacken 估计,MIE“显著降低了”基于内存损坏的签名攻击的可能性( Cointelegraph )。事实上,提高技术门槛直接影响着漏洞和密钥滥用之间的关键转变。
真正阻碍的是什么
- 阻止/限制:基于内存损坏(缓冲区溢出、释放后使用)和无效内存访问导致的权限提升的漏洞。
- 不包括:网络钓鱼攻击、社会工程、恶意扩展或欺骗用户的网页。
- 不能取代:硬件钱包的物理保护和隔离或审慎的密钥管理实践。
零日攻击和雇佣兵间谍软件:风险如何变化
间谍软件和雇佣兵团体使用的漏洞利用通常依赖于漏洞链。MIE 在第一层进行干预,使得将内存错误转化为可靠的代码执行变得更加困难。
因此,攻击者的成本增加,攻击效率降低,尽管其他攻击方式仍然存在(例如用户欺骗、供应链攻击或通过未受保护的组件)。然而,信息很明确:正是在漏洞利用最频繁的地方,设置了防御屏障。
性能、兼容性和限制
苹果将 MIE 描述为架构和系统级别的集成保护,旨在无需手动配置即可运行。
该公司保证,对日常活动性能的影响微乎其微,尽管目前正在对 iPhone 17 进行独立性能评估(2025 年 9 月)。
需要牢记的是,MIE 并不能解决逻辑错误、加密错误或社会工程学诱发的行为。换句话说,它只是一种防御手段,而非完整的解决方案。
给在 iPhone 上使用钱包的用户的建议
- 一旦 iOS 和固件正式发布,请立即更新至官方版本。
- 更喜欢具有独立审计和记录的安全控制的钱包。
- 对于大额资金,可以考虑将Ledger 硬件钱包与移动应用程序结合使用。
- 减少攻击面:禁用不必要的服务并将意外的链接或消息视为潜在的网络钓鱼尝试。
常问问题
您还需要硬件钱包吗?
是的。MIE 降低了与内存损坏相关的风险,但它不能取代密钥的物理隔离和专用设备提供的弹性。从这个角度来看,这种组合仍然是可取的。
MIE 是否也保护第三方应用程序?
是的,因为它在系统级别运行,保护内核和用户进程。然而,应用程序的实现质量仍然至关重要,尤其是在密钥管理、沙盒和更新依赖项的使用方面。
前景
MIE 不是一根“魔杖”,但它显著提高了门槛:它使最常见的漏洞利用变得不那么可行,并迫使高级参与者寻求替代解决方案。
如果未来类似的防御措施被广泛采用,钱包开发者可能会将资源从被动补丁转移到更注重安全性的设计和主动检查上。即便如此,持续的风险评估仍然是必要的。