AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序-阿里云开发者社区

开发者社区> 晚来风急> 正文

AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序

简介: 本文讲的是 AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序,近日,我们发现了一个全新系列的iOS恶意软件,能够成功感染非越狱设备,我们将其命名为“AceDeceiver”。
+关注继续查看

本文讲的是 AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序,近日,我们发现了一个全新系列的iOS恶意软件,能够成功感染非越狱设备,我们将其命名为“AceDeceiver”。

与过去两年某些iOS恶意软件利用企业证书发动攻击不同,AceDeceiver则无需企业证书即可自行安装。其原因是,AceDeceiver利用了Apple DRM机制上的设计漏洞,即使其已被苹果从App Store内移除,也可以借助其他全新攻击途径进行传播。

AceDeceiver是我们看到的第一个可以利用苹果DRM Fairplay保护机制设计漏洞的iOS恶意软件,它可以在iOS设备上安装恶意应用,不论这些iOS设备是否是越狱版。这项技术也叫“FairPlay中间人攻击”(FairPlay Man-In-The-Middle, MITM),自2013年起就被用来传播盗版iOS应用,但这是我们第一次发现它被用来传播恶意软件。(“FairPlay中间人攻击”技术还在2014年USENIX安全会议上被提出过,然而,使用这种技术发动的攻击却依然成功地发生着)

Apple 允许用户通过自己的iTunes 软件购买及下载iOS应用程序。然后通过电脑把这些应用程序安装到自己的iOS设备上,而iOS设备要求每个应用程序提供一个权限代码以证明该应用程序购买的合法性。

在“FairPlay中间人攻击”中,攻击者会先在App Store 上购买一个应用程序,然后拦截并储存该权限代码。跟着他们建立一个会激活iTunes软件执行的PC软件,来欺骗iOS设备相信此应用程序是受害者购买的。因此,用户可安装那些其实并非他们购买的应用程序,而该PC 软件的作者则可在用户未知的情况下在其iOS设备上安装可能是恶意的应用程序。
image

在2015年七月至2016年二月期间,AceDeceiver家族旗下三个不同的iOS应用程序被上传到官方的App Store,并声称为壁纸应用程序。这些应用程序使用ZergHelper的相似方法,通过在不同的地理位置执行不同的操作,成功绕过至少七次Apple的代码审查(包括它们每个程序的首次上传和随后就Apple要求额外审查的四轮代码更新)。在目前情况下,AceDeceiver只向位于中国的用户作出恶意行为,但攻击者能轻易地在任何时候作出改变。Apple在我们向它报告后于2016年二月下旬已从App Store删除了这三个应用。然而,由于“FairPlay中间人攻击”要求这些应用程序只需在App Store中存在过一次,因此这攻击仍能运作。只要攻击者能取得Apple认证的副本,这攻击不需要使用现有的App Store 来传播这些应用程序。

要发动攻击,作者创造了一个叫“爱思助手”(Aisi Helper)的Windows 软件用作发动“FairPlay中间人攻击”。

image

盗窃Apple ID 及密码

这些应用程序强烈建议用户输入Apple ID 及密码,这可使他们直接在App Store上安装免费应用程序,执行应用程序内的购买及登入游戏中心。

AceDeceiver要求用户输入Apple ID及密码的界面,具有“引导”及“免责条款”,并声称他们不会将密码发送至自己的服务器,只会在解碼后储存于本地设备。但是,我们证实这并不真实。

降低风险

AceDeceiver的所有三个木马程序已于2016年二月下旬被Apple从App Store中移除。即使如此,“爱思助手”Windows程序仍能通过使用“FairPlay MITM 攻击”把这些应用程序安装到没有越狱的iOS设备上。我们还就由AceDeceiver应用程序签署的旧的企业证书向Apple报告。所有这些已知被利用的企业证书亦被废除。

我们建议安装了“爱思助手”Windows客户端或于2015年三月后安装了“爱思助手”iOS应用程序的用户立即删除这些软件和应用程序,并更改他们的Apple ID密码。我们亦建议所有iOS用户启用Apple ID 双重认证。

企业方面,我们建议使用以下一组标识符,检查是否有安装任何用于管理Apple装置的iOS应用程序:

com.aisi.aisiring
com.aswallpaper.mito
com.i4.picture
由于AceDeceiver也能通过企业证书传播,我们还建议企业检查未知或异常供应商的基本资料。

目前为止所有已知的恶意流量都来自或传递至i4[.]cn下的子域名。企业也可以查看通过该域名的流量以识别潜在的AceDeceiver流量。

原文发布时间为:三月 17, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/14396.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
设计前沿:25款精妙的 iOS 应用程序图标
  在这篇文章中,我为大家精心挑选的25款巧妙设计的 iOS 应用程序图标,会激发你未来的工作。苹果的产品总是让人爱不释手,设计精美,对用户使用体验把握得淋漓尽致,iPhone、iPad、iPod和 iMac 等众多苹果产品备受用户追捧。
613 0
iOS Jailbreak Principles - Sock Port 漏洞解析(一)UAF 与 Heap Spraying
本文同步发表在 [掘金社区](https://juejin.im/post/5dd10660e51d453fac0a598d) 和 [微信公众号](https://mp.weixin.qq.com/s?__biz=MzU2NjU5NzMwNA==&mid=2247483739&idx=1&sn=2a60b11800c80ca32e8f6ddea6284ae7&chksm=fcab428ccbdcc
339 0
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
654 0
威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件。除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐患。 由于攻击者直接复制了Jenkins系列漏洞发现者(Orange.tw)在博客上公布的poc,攻击payload含有"Orange.tw"字样,可能被误认为是漏洞发现者在进行测试,因此我们将木马命名为ImposterMiner(冒充者)。
8689 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载