转载

当心,iPhone不越狱也能感染病毒 爱思助手或为帮凶

当心,iPhone不越狱也能感染病毒 爱思助手或为帮凶

  3 月 17 日消息,据外电报道,网络安全公司 Palo Alto Networks(以下简称“Palo Alto”)周三发布官方博客称,该公司已发现了一款名为“AceDeceiver”的新型 iOS 病毒,该病毒已成功感染了未越狱的 iOS 设备。

  与前两年发现的 iOS 病毒不同,AceDeceiver 并未借助突破企业认证进入 iOS 系统,而是在不需要任何企业认证的情况下就能够自行安装。AceDeceiver 能做到这一点,是发现了苹果数字版权管理(DRM)机制的设计漏洞。即便是苹果将 AceDeceiver 在应用商店(App Store)中删除,该病毒也能够通过新奇的攻击途径进行传播。

  AceDeceiver 是 Palo Alto 发现的第一款借助苹果数字版权管理保护机制,也就是 FairPlay 的设计漏洞进行传播的病毒。无论 iOS 设备是否越狱,该病毒都能够把恶意应用安装到设备当中。这一技术称为“FairPlay 中间人攻击”(FairPlay Man-In-The-Middle),自 2013 年开始就被使用用于传播盗版 iOS 应用,但这也是 Palo Alto 首次发现被用于传播恶意病毒。(在 2014 年举办的 USENIX 安全研讨会中,曾展示过 FairPlay 中间人攻击技术。但是,使用该技术发起的攻击仍然能够取得成功。)

  借助用户电脑上的 iTunes 客户端,苹果准许用户通过 App Store 应用商店购买和下载 iOS 应用。用户可以使用计算机把应用安装到 iOS 设备当中。对于每一款安装的应用,iOS 设备都需要一个授权代码,来证明应用是用户已经购买的。在“FairPlay 中间人攻击”当中,攻击者从 App Store 应用商店购买应用,然后拦截和保留授权代码。他们然后会开发模拟 iTunes 客户端行为的 PC 软件,骗取 iOS 设备相信应用是由用户购买的。因此,用户能够安装他们事实上未购买的应用,软件开发者也借此在用户不知情的情况下把恶意应用安装到他们的设备当中。

  AceDeceiver 家族目前已拥有多个成员。Palo Alto 发现在 2015 年 7 月至 2016 年 2 月期间,已有三款不同的 AceDeceiver 病毒被上传到了应用商店 App Store。上述病毒均已墙纸应用进行伪装。通过采用类似于病毒 ZergHelper 的做法,这些应用已成功的绕过了至少 7 次苹果代码审查。在 Palo Alto 去年 2 月底向苹果报告此事之后,苹果已经从应用商店下架了这三款应用。但是因为“FairPlay 中间人攻击”只需要这些应用曾经在苹果应用商店上架即可执行,因此“FairPlay 中间人攻击”仍可能会出现。攻击人获得了来自苹果的授权代码就能够执行攻击,而不需要应用商店灾区传播这些应用。

  病毒制作者开发出一款名为“爱思助手”(Aisi Helper)的 Windows 客户端,用于执行“FairPlay 中间人攻击”。爱思助手声称是一款专注于苹果机型的苹果助手软件,能够为 iOS 提供重新安装、越狱、系统备份、设备管理和系统清理等服务。但与此同时,爱思助手一直在与安装爱思助手客户端 PC 相连的 iOS 设备上秘密安装恶意软件。这些恶意 iOS 应用提供了由病毒作者控制的第三方应用商店连接,让用户下载 iOS 应用或游戏。它鼓励用户输入苹果 ID 和密码获取更多的功能,并把这些认证信息在加密后上传到 AceDeceiver 的 C2 服务器。Palo Alto 的认定显示,部分早期版本的 AceDeceiver 使用了时间为 2015 年 3 月的企业认证。

  在 Palo Alto 发表官方博客时,AceDeceiver 病毒主要影响到中国大陆的 iOS 设备用户。不过更严重的问题是,AceDeceiver 已被证明是让恶意病毒感染非越狱 iOS 设备的较为轻松的途径。正因为如此,Palo Alto 预计 AceDeceiver 病毒将会在全球更多的国家和地区进行传播。 

正文到此结束
Loading...