苹果版光环助手用不了了(苹果光环助手使用教程)

太平洋在线下载 186 1

  作者: Palo Alto Networks威胁情报团队Unit 42分析员Claud Xiao

  博文内容节录如下:

  近日,我们发现了一个全新系列的iOS恶意软件,能够成功感染非越狱设备,我们将其命名为“AceDeceiver”。

  与过去两年某些iOS恶意软件利用企业证书发动攻击不同,AceDeceiver则无需企业证书即可自行安装。其原因是,AceDeceiver利用了 Apple DRM机制上的设计漏洞,即使其已被苹果从App Store内移除,也可以借助其他全新攻击途径进行传播。

  AceDeceiver是我们看到的第一个可以利用苹果DRM Fairplay保护机制设计漏洞的iOS恶意软件,它可以在iOS设备上安装恶意应用,不论这些iOS设备是否是越狱版。这项技术也叫 “FairPlay中间人攻击”(FairPlay Man-In-The-Middle, MITM),自2013年起就被用来传播盗版iOS应用,但这是我们第一次发现它被用来传播恶意软件。(“FairPlay中间人攻击”技术还在2014 年USENIX安全会议上被提出过,然而,使用这种技术发动的攻击却依然成功地发生着)

  Apple允许用户通过自己的iTunes软件购买及下载iOS应用程序。然后通过电脑把这些应用程序安装到自己的iOS设备上,而iOS设备要求每个应 用程序提供一个权限代码以证明该应用程序购买的合法性。在“FairPlay中间人攻击”中,攻击者会先在App Store上购买一个应用程序,然后拦截并储存该权限代码。跟着他们建立一个会激活iTunes软件执行的PC软件,来欺骗iOS设备相信此应用程序是受 害者购买的。因此,用户可安装那些其实并非他们购买的应用程序,而该PC软件的作者则可在用户未知的情况下在其iOS设备上安装可能是恶意的应用程序。

苹果版光环助手用不了了(苹果光环助手使用教程)-第1张图片-太平洋在线下载

  

  图一: FairPlay中间人攻击流程

  在2015年七月至2016年二月期间,AceDeceiver家族旗下三个不同的iOS应用程序被上传到官方的App Store,并声称为壁纸应用程序。这些应用程序使用ZergHelper的相似方法,通过在不同的地理位置执行不同的操作,成功绕过至少七次Apple 的代码审查(包括它们每个程序的首次上传和随后就Apple要求额外审查的四轮代码更新)。在目前情况下,AceDeceiver只向位于中国的用户作出 恶意行为,但攻击者能轻易地在任何时候作出改变。Apple在我们向它报告后于2016年二月下旬已从App Store删除了这三个应用。然而,由于“FairPlay中间人攻击”要求这些应用程序只需在App Store中存在过一次,因此这攻击仍能运作。只要攻击者能取得Apple认证的副本,这攻击不需要使用现有的App Store来传播这些应用程序。

  要发动攻击,作者创造了一个叫“爱思助手”(Aisi Helper)的Windows软件用作发动“FairPlay中间人攻击”

  

  盗窃Apple ID及密码

  这些应用程序强烈建议用户输入Apple ID及密码,这可使他们直接在App Store上安装免费应用程序,执行应用程序内的购买及登入游戏中心。

  AceDeceiver要求用户输入Apple ID及密码的界面,具有“引导”及“免责条款”,并声称他们不会将密码发送至自己的服务器,只会在解碼后储存于本地设备。但是,我们证实这并不真实。

苹果版光环助手用不了了(苹果光环助手使用教程)-第2张图片-太平洋在线下载

  降低风险

  AceDeceiver的所有三个木马程序已于2016年二月下旬被Apple从App Store中移除。即使如此,“爱思助手”Windows程序仍能通过使用“FairPlay MITM攻击”把这些应用程序安装到没有越狱的iOS设备上。我们还就由AceDeceiver应用程序签署的旧的企业证书向Apple报告。所有这些已 知被利用的企业证书亦被废除。

  我们建议安装了“爱思助手”Windows客户端或于2015年三月后安装了“爱思助手”iOS应用程序的用户立即删除这些软件和应用程序,并更改他们的Apple ID密码。我们亦建议所有iOS用户启用Apple ID双重认证。

  企业方面,我们建议使用以下一组标识符,检查是否有安装任何用于管理Apple装置的iOS应用程序:

  com.aisi.aisiring

  com.aswallpaper.mito

  com.i4.picture

  由于AceDeceiver也能通过企业证书传播,我们还建议企业检查未知或异常供应商的基本资料。

  目前为止所有已知的恶意流量都来自或传递至i4[.]cn下的子域名。企业也可以查看通过该域名的流量以识别潜在的AceDeceiver流量。

标签: 苹果版光环助手用不了了

抱歉,评论功能暂时关闭!