昨天看到大量题为“谷歌安全团队再为iOS挑错,公布一系列安全漏洞”的报道,有些用户可能会担心使用神锁离线版存储的密码会不会有泄漏的风险。紧急给大家分析一下可能的影响。
昨天,谷歌安全团队Project Zero的官方博客公布了6个问题,都是ImageIO框架相关的漏洞。ImageIO 是 macOS 和 iOS 上进行图片格式处理的框架。其中有一个在谷歌发现时已经被苹果修复,另外5个中有两个是同一个根源,归并为一个CVE(Common Vulnerabilities and Exposures)。总共有4个CVE,其中有3个CVE被定为高等级(分高、中、低三个等级),分别是处理JPEG(CVE-2020-3827),DDS(CVE-2020-3826)和PVR(CVE-2020-3878)三种图片格式的漏洞。
其中最广泛使用的JPEG图片格式漏洞 CVE-2020-3827 只在macOS上会出现,不影响iOS平台,也就是对神锁离线版完全无影响。
DDS(CVE-2020-3826)和PVR(CVE-2020-3878)这两种图片格式在日常使用中,普通用户极少会遇到。前者会导致程序读取内存(运行时内存)越界,被黑客利用,可能泄露内存中的数据。PVR(CVE-2020-3878)在写PVR格式的图片数据时会越界,漏洞被利用,再结合其他技术,设置可能远程执行代码(Remote Code Execution)。
本着最小攻击面设计的原则,神锁离线版并没有直接使用ImageIO组件。但是由于ImageIO是iOS平台的基础组件,操作系统在为App展示图片、图标时仍然会用到。实际上,每个App最终都会用到ImageIO的图片格式解析能力。
神锁离线版不使用到DDS和PVR格式的图片
神锁离线版内置的图片资源和模版logo,都是JPEG和PNG两种格式,本次报道的JPEG漏洞不影响iOS平台,神锁离线版并不会使用到DDS和PVR格式的图片。
神锁离线版不会从互联网下载logo
这是与很多其他密码管理器重要的区别之一。从互联网下载资源,存在中间人攻击的风险,下载的logo可能会被黑客替换成恶意的图片数据,从而攻破密码管理器的防护。
神锁离线版完全不使用网络,彻底关闭这个最大的安全攻击面,从而杜绝了所有网络攻击。
神锁离线版选择附件和自定义logo不支持DDS和PVR格式
神锁允许用户添加附件和选择相册中的图片作为自定义logo,但是iOS相册并不支持导入DDS和PVR等特殊格式的图片。因此用户并不会导入这两种格式的图片到神锁离线版中。
神锁离线版不支持打开DDS和PVR格式的文件
通过AirDrop或者其他App分享文件,可以选择打开的App。神锁离线版目前只支持两种文件格式 CSV 和 ZIP,前者用于导入chrome浏览器保存的密码,后者用于恢复备份。有些密码管理器可以打开任意格式的文件,会暴露出过大的攻击面,存在一定风险。
神锁离线版的密码经过二次加密
退一步讲,如果恶意程序利用某些漏洞读取了神锁离线版的内存数据,会不会泄漏保存的密码呢?
神锁离线版保存秘密信息(密码,一次性密码的密钥,恢复代码,安全问题答案等)时,会进一步加密。解锁App看到主界面上的所以账号时,并不会解密任何账号中的的秘密信息。只有用户选择一个账号查看时,才会解密这个账号里面保存的密码。也只有在查看这个账号后,被恶意程序读取内存才可能泄漏这个账号的密码,而其他账号的密码不受影响。
很多密码管理器并没有对密码数据进行额外一层加密保护,如果内存被恶意程序读取,有可能会泄漏所有密码。
神锁离线版基于最小攻击面的设计,避免了绝大多数常见的攻击形式。本次公开的iOS漏洞对神锁离线版完全没有影响,小伙伴们尽可放心。
神锁离线版的秘密信息二次加密技术,还保证了即使恶意程序能够读取内存,也难以偷取到密码。
最后,本次公开的漏洞苹果已经全部修复了,建议大家升级系统,避免其他程序受到影响。
