苹果全新的内存完整性强制执行功能在 iPhone 17 和 iPhone Air 中如同一道内部护盾,阻断了间谍软件所依赖的内存攻击手段,大幅提高了设备被破解的难度。以下是其运作原理。
该功能由苹果安全工程与架构部门于 2025 年 9 月 9 日发布,标志着五年硬件与软件研发的成果。苹果称其为消费级操作系统内存安全领域迄今最重大的突破。
内存完整性强制执行(MIE)旨在防范内存破坏漏洞攻击——这类漏洞正是高级间谍软件最常用的工具。苹果谨慎地指出,大多数 iPhone 用户并不会遭遇此类攻击。
困扰 Windows 和 Android 设备的恶意软件大规模感染从未以同样方式波及 iOS。苹果认为,真正的威胁来自受政府雇佣的商业间谍软件组织。
他们的工具开发成本高达数百万美元,且仅针对极少数高价值目标部署。NSO 集团的 Pegasus 间谍软件是最著名的例子,能够通过“零点击漏洞”无声侵入 iPhone。
所有已知能攻击 iOS 的间谍软件链都依赖于内存破坏漏洞。这些漏洞使攻击者能够以开发者未曾预料的方式覆写内存,从而为执行任意代码打开大门。
若苹果能切断这条路径,间谍软件的经济模式将发生巨变。
系统运作原理
MIE 的核心在于将苹果长期在 Swift 等内存安全语言、安全分配器上的成果,与新的芯片级防护技术相结合。其基础是 Arm 于 2019 年首次发布的内存标记扩展(MTE)技术。
苹果与 Arm 合作将其升级为增强型内存标记扩展(EMTE),通过强化规则以堵塞漏洞。MIE 要求每个内存块携带一个隐藏标签(本质为一串密文)。
硬件会校验任何使用该内存的请求是否提供了正确标签。若标签不匹配,系统将立即阻断访问并终止进程。这使得缓冲区溢出和释放后使用等漏洞的利用难度大幅增加。
工程推进
苹果还加入了标签保密强制执行等额外防护,防止攻击者通过侧信道攻击或推测执行漏洞窥探标签代码——这明显是针对几年前震撼 CPU 领域的“幽灵”类攻击。
苹果并未仅在现有芯片上添加内存完整性功能,而是为支持该特性在 A19 和 A19 Pro 芯片中 dedicated 了大量区域。
该设计包含专用 CPU 空间、内存及定制逻辑单元。这些资源使防护功能可在后台静默运行,且不影响设备性能。
软件层面也需调整。苹果在其安全分配器(如 kalloc_type、xzone malloc 及 WebKit 的 libpas)基础上进行构建,EMTE 现可填补它们未能覆盖的漏洞,例如同一内存桶内的小型分配。
苹果内部攻防安全研究员历经多年尝试在各个环节破解 MIE,最终在测试中消除了整类攻击策略,大幅缩减了攻击者的选项。
苹果并未独享这项技术,而是通过 Xcode 的“增强安全”设置向开发者提供增强型内存标记扩展(EMTE)。
开发者可藉此在与应用相同的内存完整性检查环境下测试产品。这意味着 MIE 的影响将超越操作系统层面,推动第三方应用强化自身抵御类似攻击的能力。
对攻击者的影响
对苹果而言,此举并非为了阻断所有潜在漏洞,而是大幅提高攻击成本,使商业间谍软件开发者投入巨资却收获甚微。
这是经典的安全策略:让攻击链脆弱到无法在实际环境中生效。攻击者通常需串联多个漏洞才能完全控制设备。
苹果表示 MIE 能频繁早期切断这些攻击链。在其评估中,以往有效的攻击手段无法重构以绕过新系统,极少数理论上残存的漏洞也被证实为不可靠的死胡同。
该设计包含专用 CPU 空间、内存及定制逻辑单元。(图片来源:Apple)
这合乎逻辑:若攻击链的每个环节都依赖前序步骤,那么打破单一环节便足以使整个攻击崩溃。间谍软件厂商无法简单替换另一个漏洞,而必须从头开始。
对用户的意义
多数 iPhone 用户不会察觉内存完整性强制执行功能的存在,因其在后台静默运行。该功能始终启用,且对电池续航与性能无明显影响。
它旨在保护更易成为目标的人群,如记者、异见人士和企业高管。对他们而言,这种增强的安全防护可能改变人生。
谷歌虽提供可选版 MTE 供高风险用户使用,但苹果将 MIE 设为所有 iPhone 17 和 iPhone Air 的默认功能,并通过 Xcode 向全体开发者开放相关工具。
虽无完美安全方案,但苹果认为提高攻击成本并降低其可靠性将迫使许多商业间谍软件组织知难而退。若 MIE 如苹果所言有效,或将重塑监控技术的经济模式,迫使攻击者重回起点。
