“SandJacking”攻击：在未越狱的 iOS 设备上安装恶意应用

在HITB 2016 会议中，Mi3 Security公司的安全研究员Chilik Tamir发表了一个关于“SandJacking”攻击的演讲，利用一个未打补丁的iOS漏洞在未越狱的iOS设备上使用恶意版本替换合法的应用程序，获取设备的敏感信息。

开发一个以Apple iOS系统为目标的恶意软件并不简单，首先，iOS中的应用程序都运行在沙箱中以防止其他进程访问。沙箱中包含文档、数据库、cookies……其中的任何一项都会导致严重的信息泄露，因此保护沙箱十分重要。

苹果也尝试要求所有通过官网应用商店发布的应用程序使用证书签名，而该证书则需要根据严格的识别程序获取。另外，苹果公司会对应用程序进行严格的审查，其安装过程也会经过全面的验证。

尽管如此，还是有一些攻击者可以利用设计缺陷和漏洞使用恶意软件感染设备。例如WireLurker，YiSpecter，XCodeGhost，ZergHelper，AceDeceiver。

滥用苹果证书安装恶意软件

Chilik Tamir在会上演示了攻击者如何利用苹果最新推出的开发功能安装恶意软件。

在Xcode 7的介绍中，独立开发者只需要提供Apple ID就可以获取证书，创建iOS应用程序。众所周知，创建Apple ID十分容易，创建者只需要提供一个用户名和一个电子邮箱——当然，这些都无法证实是否真实。

但是应用程序的开发者并不想将这些类型的证书上传到应用商店，这就意味着，他们可以不受苹果的审查。当然，相比那些通过正规程序获取证书的应用，这些应用的功能显然是受限的。准确的说是，这些应用程序不允许访问苹果支付，应用程序域，游戏中心，iCloud，内购功能，存折/钱包，并且它们不能使用推送通知。

然而，这些使用“匿名”证书创建的应用仍然可以用于恶意软件，利用获取GPS数据，访问受害者的地址簿和日历，泄露exif数据，使用HealthKit框架（用于健康和健身应用）。

Su-A-Cyder工具

Tamir发布了一个名为Su-A-Cyder的POC工具，可以创建恶意的版本快速替换iOS设备中的合法应用。该工具创建的程序与合法的应用发挥同样的功能，但是其中包含恶意的功能，使攻击者可以该应用的完全控制和访问权限。

由于Su-A-Cyder设计成在目标设备连接计算机时，使用恶意应用替换合法应用，因此该工具及其威胁向量更适用于具有高度针对性的攻击，例如攻击者可以接触目标设备并已知密码。

然而，Tamir指出，Su-A-Cyder攻击还有一些可利用场景。例如，想要监视其配偶和子女的人，拥有多个设备访问权的手机维修店员，企业员工将设备交给IT技术人员等。

在iOS 8.3版本发布之前，攻击者可以很容易地通过为恶意软件分配一个类似的标识符（绑定ID）并在设备上安装（覆盖原有版本）来替换合法的应用。iOS 8.3版本之后，苹果禁止与存在ID相似的Apple ID安装应用。

SandJacking攻击

Tamir发现了一种新的方法，并将其命名为SandJacking，攻击者可利用该方法在最新版本的iOS设备中使用Su-A-Cyder技术。

尽管苹果在应用安装过程中会打补丁，但是它忽略了恢复过程。这就使得拥有访问权限的攻击者可以创建备份，删除合法应用，安装恶意版本，然后从备份中恢复设备，该恢复不会删除恶意应用，攻击者可以访问该应用相关的所有数据。

值得注意的是，该恶意应用只能为攻击者提供应用沙箱的访问权限。这意味着攻击者需要为每个目标应用程序创建恶意版本。但是Tamir认为如果考虑自动化的话这将不会成为阻碍攻击者的难题。

在会议上，Tamir以Skype为例演示了SandJacking攻击。他在一次采访中说，SandJacking攻击已经在多个流行应用中成功测试。

恶意应用安装后，用户很难发现它与原程序的区别——用户需要查看应用的证书和设备配置，验证该应用是否来自合法的开发者。

该SandJacking漏洞在2015年12月被研究人员发现，并在1月报告给苹果，苹果已经确认了该漏洞，但是还没有发布补丁。该漏洞修复后，Tamir会发布利用该漏洞利用工具。
本文转自d1net（转载）