Apple 裝置為了保障系統和用戶資料安全,在設定上有不少限制,例如不能透過連接電腦直接存取其儲存系統。因此不少用戶可能會選擇第三方軟件取代 iTunes 用作管理他們的 Apple 裝置。而坊間標榜免費、免 Jailbreak、簡單易用的助手軟件自然成為了不少人的首選,不過這些助手軟件的開發團隊來歷,程式中又會否暗藏後門程式,用戶往往難以知曉。近日安全研究公司 Palo Alto Networks 就在一款名為「愛思助手」的軟件中發現 iOS 木馬程式,有機會盜取用戶的 Apple ID 和密碼,以及暗中安裝惡意應用。
新型中間人攻擊 未 Jailbreak 裝置助手軟件也可安裝惡意程式
Palo Alto Networks 的安全研究團隊發現,一款能成功感染沒有 Jailbreak 裝置的新型 iOS 木馬程式,並將其命名為 「AceDeceiver」。有別於過往兩年一些 iOS 惡意軟件利用企業認證發動攻擊,AceDeceiver 能在沒有任何企業認證下自行安裝。它是通過利用 Apple 的 DRM 機制上的設計漏洞進行,即使 Apple 已從 App Store 內移除 AceDeceiver,這種新穎的攻擊載體仍有可能繼續蔓延。
研究團隊指 AceDeceiver 是首個發現利用 Apple 的 DRM 保護機制內被稱為 FairPlay 的設計漏洞,在不論有否 Jailbreak 的iOS裝置上安裝惡意應用程式的 iOS 惡意軟件。
這種技術被稱為「FairPlay 中間人攻擊」(FairPlay man-in-the-middle attack) ,自 2013 年起已被用於傳播盜版 iOS 應用程式,但這是首次發現被用來傳播惡意軟件。而「FairPlay 中間人攻擊」這種技術在 2014 年於 USENIX 安全研討會上被提出,使用這種技術的成功攻擊仍然時有發生。
Apple 允許用家透過使用電腦的 iTunes 軟件購買及下載 iOS 應用程式。然後用家可以使用電腦把這些應用程式安裝到他們的 iOS 設備上,而 iOS 設備要求每個應用程式提供一個權限代碼以證明該應用程式是購買的。
在「FairPlay中間人攻擊」中,攻擊者會先於 App Store 購買一個應用程式,然後攔截並儲存該權限代碼。跟著他們建立一個會刺激 iTunes 軟件執行的 PC 軟件,來瞞騙 iOS 設備相信此應用程式是受害者購買的。因此,用家會被安裝他們其實並沒有購買的應用程式,而該 PC 軟件的製作者則可在用家不知情下在其 iOS 設備上安裝潛在惡意應用程式。要發動攻擊,名為「愛思助手」(Aisi Helper) 的 Windows 軟件便是用作發動「FairPlay 中間人攻擊」主要工具。
偽裝 Wallpaper 應用散佈木馬程式 欺騙用戶盜取 Apple ID 及密碼
Palo Alto Networks 亦發現早於 2015 年 6 月至 2016 年 2 月期間,有三款名為「壁紙助手」、「AS Wallpaper」和「i4picture」的應用程式曾於 App Store 上架,偽裝成一般的 Wallpaper 程式,雖然現時已被下架。但正如上文所述,AceDeceiver 是通過利用 Apple 的 DRM 機制上的設計漏洞進行,因此即使 Apple 將含有 AceDeceiver 的應用程式從 App Store 內移除 ,攻擊仍有可能繼續蔓延。
不過即使這三款應用程式被下架,但攻擊者仍可透過「愛思助手」將這些程式或其他未知的惡意程式透過「FairPlay 中間人攻擊」的方式安裝到用戶沒有 Jailbreak 的 iOS 裝置上。這些應用程式亦會不斷建議用家輸入他們的 Apple ID 及密碼,聲稱能方便用家「直接於 App Store 安裝免費應用程式,執行應用程式內的購買及登入遊戲中心。」而在要求用家輸入 Apple ID 及密碼的介面上,亦會有「指引」及「免責條款」,假稱他們不會將密碼傳遞予他們的伺服器,只會在解碼後儲存於本地設備。
Palo Alto Networks 方面指已就擁有舊企業認證簽署的 AceDeceiver 應用程式向 Apple 報告,現時所有已知被利用的企業認證已被廢除。他們亦建議企業方面,可以利用 「com.aisi.aisiring」、「com.aswallpaper.mito」和「com.i4.picture」作識別,檢查是否有安裝任何用於管理 Apple 裝置的 iOS 應用程式。
Source: Palo Alto Networks