YiSpecter惡意軟件使用的技術(shù)可以繞過蘋果應(yīng)用商店的安全檢查

研究人員說，新發(fā)現(xiàn)的被稱為YiSpecter的惡意軟件可以感染未越獄的iPhone和iPad設(shè)備，使用一些新的技術(shù)。

YiSpecter惡意軟件是不尋常的在許多方面,根據(jù)安全公司帕洛阿爾托網(wǎng)絡(luò),主要是因為它是第一個在野外惡意軟件,利用iOS系統(tǒng)的私有api——蘋果iOS的api仍然沒有形成,可能是因為他們不準(zhǔn)備更廣泛地使用。

這種特殊行為的缺點在于，研究人員此前發(fā)現(xiàn)了一些濫用應(yīng)用程序商店中私有api的應(yīng)用程序，這意味著攻擊者可以利用這些應(yīng)用程序來攻擊只從應(yīng)用程序商店安裝應(yīng)用程序的iPhone和iPad用戶。

據(jù)帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)稱，蘋果的應(yīng)用程序商店(App Store)中有100個應(yīng)用程序濫用了私有api，并繞過了蘋果出了名的嚴(yán)格的代碼審查。

帕洛阿爾托的研究人員克勞德·肖(Claud Xiao)寫道:“這意味著，濫用私人api的攻擊技術(shù)也可以單獨使用，可以影響所有只從應(yīng)用商店下載應(yīng)用的普通iOS用戶。”

幸運(yùn)的是，在這次事件中，攻擊者并沒有使用蘋果的應(yīng)用商店來分發(fā)惡意軟件，而是依靠企業(yè)證書作為安裝惡意軟件的輔助渠道。

在YiSpecter被發(fā)現(xiàn)之前，有超過4000個帶有XcodeGhost惡意軟件的應(yīng)用程序被泄露到蘋果應(yīng)用商店。在這起事件中，騰訊的微信應(yīng)用程序等中國合法第三方應(yīng)用程序的開發(fā)者，在使用了受污染的蘋果開發(fā)者工具集Xcode后，將應(yīng)用程序上傳到app Store。

Flash零日漏洞攻擊傳播廣告惡意軟件，僵尸網(wǎng)絡(luò)

針對Flash Player的新攻擊可能會迫使Adobe在修復(fù)了9個漏洞幾天后發(fā)布另一個補(bǔ)丁。

閱讀更多

受害者報告顯示，YiSpecter一旦安裝在iOS設(shè)備上，無論是越獄還是非越獄，都會獲得廣泛的權(quán)力。

這些功能包括下載、安裝和啟動其他iOS應(yīng)用程序，將現(xiàn)有應(yīng)用程序替換為下載的應(yīng)用程序，劫持其他應(yīng)用程序來顯示廣告，以及改變Safari的默認(rèn)搜索引擎。

它還可以篡改Safari書簽和打開的頁面，并將設(shè)備信息上傳到攻擊者的服務(wù)器。

雖然XcodeGhost和YiSpecter都影響非越獄的iOS設(shè)備，而且在技術(shù)上確實有一些相似之處，但帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)的研究人員認(rèn)為，這些攻擊沒有關(guān)聯(lián)。

肖指出:“我們認(rèn)為YiSpecter和XcodeGhost是由不同的攻擊者開發(fā)的，到目前為止，沒有證據(jù)表明這兩位開發(fā)人員之間有合作?！?/p>

正如帕洛阿爾托所強(qiáng)調(diào)的，YiSpecter還與WireLurker惡意軟件有相同的特點。WireLurker是去年發(fā)現(xiàn)的，它還濫用企業(yè)證書感染非越獄的iOS設(shè)備。

然而，YiSpecter使用了私有api來實現(xiàn)iOS中的敏感功能，比如隱藏圖標(biāo)，這在以前是學(xué)術(shù)討論的領(lǐng)域。

YiSpecter是現(xiàn)實世界中第一個結(jié)合這兩種攻擊技術(shù)并對更大范圍用戶造成傷害的iOS惡意軟件。它將iOS安全的底線又向后推了一步?！?/p>

然而，Rapid7的全球安全策略師特雷?福特(Trey Ford)表示，YiSpecter的惡意軟件沒有顯示出蘋果的“圍墻花園”策略已經(jīng)被打破。

Trey說:“攻擊者知道專注于邊緣情況，特別是像使用企業(yè)證書的“內(nèi)部分發(fā)”工作流這樣的例外情況，提供了最可能的部署路徑。”

福特補(bǔ)充說:“你將聽到的允許攻擊者使用隱藏圖標(biāo)和替換應(yīng)用程序等手段的私有API將不會通過應(yīng)用商店提供，而這通常是促使攻擊者尋找其他分銷渠道的動力?！?/p>

根據(jù)帕洛阿爾托的說法，YiSpecter至少從2014年11月開始在野外傳播，通常帶有一個用戶界面和功能，可以在線觀看免費(fèi)的色情視頻。

據(jù)帕羅奧圖網(wǎng)絡(luò)公司(Palo Alto Networks)稱，YiSpecter的兩個主要應(yīng)用是HYQvod和DaPian，它們將安裝YiSpecter的主要惡意組件Nolcon，該組件支持更改Safari配置和插入廣告等功能。

今年早些時候，中國軟件公司奇虎360 (Qihoo 360)和獵豹移動(Cheetah Mobile)的研究人員深入研究了一款iOS惡意軟件，他們將其命名為“靈盾蠕蟲”。然而，帕洛阿爾托表示，他們錯過了或未能披露更多惡意功能，目前該公司已確認(rèn)這些功能是YiSpecter的一部分。

YiSpecter還介紹了一些攻擊越獄手機(jī)和非監(jiān)獄手機(jī)iOS設(shè)備的新方法，包括帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)的一項建議，即中國互聯(lián)網(wǎng)服務(wù)提供商參與了惡意軟件的傳播，他們劫持用戶的互聯(lián)網(wǎng)流量，并在用戶訪問知名新聞網(wǎng)站時插入彈出對話框。

“一些未越獄的iPhone用戶試圖清除cookies、重置iOS、更改iCloud賬戶以及阻止Safari瀏覽器中的彈出窗口，但這些操作并沒有解決問題?！比欢绻麄兪褂镁哂袃?nèi)置代理功能的第三方移動瀏覽器訪問同一個網(wǎng)頁，廣告就會消失。一位用戶甚至撥打了他的ISP服務(wù)電話投訴，問題得到了解決——這些廣告再也沒有出現(xiàn)過，”肖解釋道。

“根據(jù)這些信息，我們認(rèn)為，在這些案件中，ISP的流量劫持是用來傳播惡意軟件的，而不是惡意的第三方。”

“靈盾蠕蟲”也被用來傳播YiSpecter，而一些YiSpecter應(yīng)用程序被發(fā)布在地下應(yīng)用程序分發(fā)網(wǎng)站上，可能是針對越獄設(shè)備，以及社交媒體和其他社區(qū)論壇。