iOS被广泛认为是更安全的移动操作系统之一。它从一开始就被设计为安全的,因此避免了困扰Android的许多安全威胁。
针对该平台存在的少数威胁或以其他方式受到威胁或利用的威胁被盗的企业证书。
But AceDeceiver is different. It was discovered by Palo Alto Networks earlier this week, and is able to infect factory-configured iPhones without the user realizing, by exploiting fundamental flaws in Apple’s FairPlay DRM system.
从盗版到恶意软件
AceDeceiver的分发方式基于一种称为“ FairPlay中间人"的东西,这是一种常见的策略自2013年以来一直用于在未越狱的iPhone和iPad上安装盗版应用程序。
当个人从计算机购买iPhone应用程序时,该应用程序可以立即发送到该手机。但是在进行购买和交付应用程序之间,设备与Apple的服务器之间发生了很多通信。
特别是,Apple会将授权码发送到iOS设备,这实际上是向客户端设备确认该应用程序已被合法购买。如果有人捕获了这些授权代码之一,并且能够模仿Apple服务器如何与iOS设备交互,那么他们将能够将应用程序发送到该设备。
这些应用程序可以是尚未经过授权的应用程序。 Apple允许其出现在App Store上,或者可能是盗版应用程序。
在这种情况下,由这种新颖的旋转方式在“ Fairplay Man-In-The-Middle"上分发的应用程序是恶意软件应用程序
遇到Aisi Helper
对于此攻击,FairPlay中间人攻击是由Aisi Helper进行的,Aisi Helper是Windows软件应用程序,据信是从表面上看,它声称是合法的第三方 iDevice 管理产品。它具有许多合法程序的陷阱。它允许用户越狱和备份本地网络上的设备,并在需要时重新安装iOS。它基本上是iTunes,尽管没有音乐播放器,但它的目标市场是中国市场。
根据ITJuzi的资料,该公司在中国市场的初创公司的概况很明显,它于2014年首次发布。当时,它没有不包含任何恶意行为。从那时起,已对其进行了广泛的修改以使用上述策略,以便将恶意软件分发到任何已连接的设备。
当Aisi Helper检测到已连接的设备时,它会自动在未经用户同意的情况下运行。 ,开始安装AppDeciever木马。发生这种情况的唯一提示是,一个神秘且不需要的应用程序将出现在用户的应用程序列表中。
AceDeceiver恶意软件
在撰写本文时,这些木马已有3个。到目前为止,每个人最初都被伪装成墙纸应用程序。所有这些都已通过Apple臭名昭著的严格源代码检查,可在App Store上获得,该源代码在提交后以及每次后续更新时均经过审查。从理论上讲,这应该阻止了它们出现在App Store中。
Palo Alto Networks认为,开发人员能够通过将这些支票提交到中国境外而跳过这些支票,并且最初仅将这些支票提供给其他人使用
这种AceDeciever恶意软件的特定变种仍然处于休眠状态,除非该设备具有中华人民共和国的IP地址。因此,很显然,它是针对中国用户的。尽管它也可能影响使用中文VPN的任何人或在中国境内旅行的人。
当恶意软件检测到该设备在中国时,它将从仅用于下载和更改墙纸的应用程序转变为一种伪装成几种Apple服务,例如App Store和Game Center。
可以预见,这样做的目的是收获Apple凭据。这样,攻击者就可以购买他们放置在App Store上的应用程序和电子书,进而获得可观的利润。但是,AppDeciever不能仅“访问"这些凭据,因为它们安全地存储在加密的容器中。
因此,它使用社交工程策略。 AceDeceiver将显示看起来像来自Apple的弹出窗口,要求用户确认其凭据。当用户遵从时,这些将通过网络发送到远程服务器。
这些应用程序已从商店中删除。尽管如此,利用FairPlay中间人攻击,攻击者仍然可以安装它们。
您是否会担心?
所以,让我们追。您是否有理由对此担心?是的,是的,不是。
现在,这种情况的主要表现是围绕中国。它针对的是中国iPhone,它在中国境外处于休眠状态,它使用精心设计的社交工程策略来成功地对抗中国用户。
尽管如此,仍然值得关注。毕竟,这是基于自2013年以来用于安装盗版软件的策略。三年后,这个漏洞尚未关闭,并且仍然可以最终被利用。
在App Store上成功发行了3次的事实也引起了人们的严重质疑。 Apple保持其不受恶意软件侵害的能力。
此外,如Palo Alto Labs所指出的那样,将这种恶意软件进行重新设计以针对美国或欧洲的目标用户将是微不足道的。
目前,尚无很多事情可以解决。 Palo Alto Networks建议任何安装了Aisi Helper的人立即将其卸载。他们还说,受害者应激活两因素身份验证并更改密码。
他们还为使用防火墙设备的企业发布了两个IPS(入侵防御系统)签名,以便阻止攻击。遗憾的是,这些功能不适用于消费者。
交给您
您是否受到AceDeceiver恶意软件的影响?认识某人吗?在下面的评论中告诉我。
