隨着 iPhone 17 的推出,持續活躍的硬件軟件防禦功能首次亮相。
它旨在打破基於內存損壞的攻擊鏈 - 這是針對加密錢包和 Passkey 的衆多攻擊的根源 - 得益於內存完整性強制 (MIE) 技術,這是一種控制內存訪問以減少攻擊面而無需用戶干預的機制( Apple 安全研究)。
本質上,這種保護措施在後臺運行,旨在在濫用行爲導致代碼執行之前將其攔截。多年來,像OWASP Mobile Top Ten這樣的組織和安全項目一直強調在移動設備上採取以內存安全爲導向的對策的重要性。
根據對預發佈版本(2025 年 9 月)進行測試的分析師團隊收集的數據,MIE 在實驗室場景中多次阻止了基於內存標記的經典利用嘗試。
接受諮詢的行業分析師還指出,MIE 的引入增加了將內存錯誤轉化爲有效漏洞所需的技術複雜性,從而將攻擊者的資源轉移到效率較低的載體上。
MIE 簡介:它是什麼以及爲什麼現在
MIE 是一種內存完整性保護,它引入了對進程對指針和內存區域的訪問的系統控制。
目標是控制諸如緩衝區溢出和釋放後使用 (UAF) 之類的漏洞,這些漏洞通常是旨在竊取或操縱簽名操作的零日攻擊的基礎。在此背景下,該方法旨在減少漏洞利用鏈的典型操作空間。
各種公開的分析,例如來自Google Project Zero和微軟安全響應中心的分析,都強調,60% 到 70% 的“在野”利用的漏洞涉及內存安全問題(數據更新至 2025 年)。
需要注意的是,正是出於這個原因,Apple 將 MIE 定位爲始終處於活動狀態的防禦層,以保護內核和用戶進程。
官方詳細信息:內存完整性執行 - Apple 安全研究。
具體來說
- 將標籤分配給內存區域並將指針與相應的標籤關聯,從而在兩者之間創建可驗證的鏈接。
- 驗證每次訪問:如果指針與內存標籤不匹配,則立即阻止操作。
- 記錄事件並阻止攻擊的繼續,從而降低攻擊鏈的有效性。
實際示例:簽名期間的 UAF
典型場景是簽名庫釋放一個對象,惡意代碼試圖重用相關指針來執行任意代碼。
對於 MIE 來說,指針的不當重用會導致標籤錯位:訪問被拒絕,導致漏洞利用失去穩定性,並阻止對簽名過程的操縱。也就是說,合法操作仍可繼續,而濫用嘗試則會被阻止。
加密錢包和密鑰:對用戶有何變化
許多針對錢包和密碼的攻擊旨在在簽名操作期間攔截或篡改敏感數據。MIE 縮短了這些攻擊窗口,使得從漏洞升級到密鑰泄露變得更加複雜。
據行業媒體報道,安全公司 Hacken 估計,MIE“顯著降低了”基於內存損壞的簽名攻擊的可能性( Cointelegraph )。事實上,提高技術門檻直接影響着漏洞和密鑰濫用之間的關鍵轉變。
真正阻礙的是什麼
- 阻止/限制:基於內存損壞(緩衝區溢出、釋放後使用)和無效內存訪問導致的權限提升的漏洞。
- 不包括:網絡釣魚攻擊、社會工程、惡意擴展或欺騙用戶的網頁。
- 不能取代:硬件錢包的物理保護和隔離或審慎的密鑰管理實踐。
零日攻擊和僱傭兵間諜軟件:風險如何變化
間諜軟件和僱傭兵團體使用的漏洞利用通常依賴於漏洞鏈。MIE 在第一層進行干預,使得將內存錯誤轉化爲可靠的代碼執行變得更加困難。
因此,攻擊者的成本增加,攻擊效率降低,儘管其他攻擊方式仍然存在(例如用戶欺騙、供應鏈攻擊或通過未受保護的組件)。然而,信息很明確:正是在漏洞利用最頻繁的地方,設置了防禦屏障。
性能、兼容性和限制
蘋果將 MIE 描述爲架構和系統級別的集成保護,旨在無需手動配置即可運行。
該公司保證,對日常活動性能的影響微乎其微,儘管目前正在對 iPhone 17 進行獨立性能評估(2025 年 9 月)。
需要牢記的是,MIE 並不能解決邏輯錯誤、加密錯誤或社會工程學誘發的行爲。換句話說,它只是一種防禦手段,而非完整的解決方案。
給在 iPhone 上使用錢包的用戶的建議
- 一旦 iOS 和固件正式發佈,請立即更新至官方版本。
- 更喜歡具有獨立審計和記錄的安全控制的錢包。
- 對於大額資金,可以考慮將Ledger 硬件錢包與移動應用程序結合使用。
- 減少攻擊面:禁用不必要的服務並將意外的鏈接或消息視爲潛在的網絡釣魚嘗試。
常問問題
您還需要硬件錢包嗎?
是的。MIE 降低了與內存損壞相關的風險,但它不能取代密鑰的物理隔離和專用設備提供的彈性。從這個角度來看,這種組合仍然是可取的。
MIE 是否也保護第三方應用程序?
是的,因爲它在系統級別運行,保護內核和用戶進程。然而,應用程序的實現質量仍然至關重要,尤其是在密鑰管理、沙盒和更新依賴項的使用方面。
前景
MIE 不是一根“魔杖”,但它顯著提高了門檻:它使最常見的漏洞利用變得不那麼可行,並迫使高級參與者尋求替代解決方案。
如果未來類似的防禦措施被廣泛採用,錢包開發者可能會將資源從被動補丁轉移到更注重安全性的設計和主動檢查上。即便如此,持續的風險評估仍然是必要的。