AceDeceiver: 首個利用 Apple DRM 設計漏洞感染 iOS 裝置的木馬程式

打印

AceDeceiver: 首個利用 Apple DRM 設計漏洞感染 iOS 裝置的木馬程式
 

作者:  Palo Alto Networks 威脅情報團隊 Unit 42 分析員 Claud Xiao

 

我們發現了能成功感染沒有越獄裝置的新型iOS木馬程式家族,並將其命名為 「AceDeceiver」。有別於過往兩年一些iOS惡意軟件利用企業認證發動攻擊,AceDeceiver能在沒有任何企業認證下自行安裝。它是通過利用Apple的DRM機制上的設計漏洞進行,即使Apple已從App Store內移除AceDeceiver,這種新穎的攻擊載體仍有可能繼續蔓延。
 
AceDeceiver是我們所見首個利用Apple的DRM保護機制內被稱為FairPlay的某些設計漏洞,在不論有否越獄的iOS裝置上安裝惡意應用程式的iOS惡意軟件。這種技術被稱為「FairPlay中間人攻擊」(FairPlay man-in-the-middle attack) ,自2013年起已被用於傳播盜版的iOS應用程式,但這是我們首次看到它被用來傳播惡意軟件。(「FairPlay中間人攻擊技術」在2014年於USENIX安全研討會上被提出,但使用這種技術的成功攻擊仍然時有發生。)
 
Apple 允許用家透過他們電腦的iTunes 軟件購買及下載iOS應用程式。然後用家可以使用電腦把這些應用程式安裝到他們的iOS設備上,而iOS設備要求每個應用程式提供一個權限代碼以證明該應用程式是購買的。在「FairPlay中間人攻擊」中,攻擊者會先於App Store購買一個應用程式,然後攔截並儲存該權限代碼。跟著他們建立一個會刺激iTunes軟件執行的PC軟件,來瞞騙iOS設備相信此應用程式是受害者購買的。因此,用家會被安裝他們其實並沒有購買的應用程式,而該 PC 軟件的作者則可在用家不知情下在其iOS設備上安裝可能是惡意的應用程式。


       

 圖一:  FairPlay中間人攻擊流程

在2015年七月至2016年二月期間,AceDeceiver家族旗下三個不同的iOS應用程式被上傳到官方的App Store,並聲稱為壁紙應用程式。這些應用程式使用ZergHelper的相似方法,通過在不同的地理位置執行不同的操作,成功繞過Apple的代碼審查至少七次(包括它們每個程式的首次上傳和隨後就Apple要求額外審查的四輪代碼更新)。在目前情況下,AceDeceiver只向位於中國的用戶作出惡意行為,但攻擊者能輕易地在任何時候作出改變。Apple在我們向它報告後於2016年二月下旬已從App Store刪除了這三個應用程式。然而,由於「FairPlay中間人攻擊」只需這些應用程式在App Store中存在過一次,因此這攻擊仍能運作。只要攻擊者能取得Apple認證的副本,這攻擊不需要使用現有的App Store 來傳播這些應用程式。
 
要發動攻擊,作者創造了一個叫「愛思助手」(Aisi Helper)的Windows 軟件用作發動「FairPlay中間人攻擊」‧‧‧‧‧‧

 
盜竊Apple ID 及 密碼
…..這些應用程式強烈建議用家輸入Apple  ID 及密碼,這可使他們可以「直接於App Store安裝免費應用程式,執行應用程式內的購買及登入遊戲中心。」
 
AceDeceiver 要求用家輸入Apple  ID 及密碼的介面,具有「指引」及「免責條款」,並聲稱他們不會將密碼傳遞予他們的伺服器,只會在解碼後儲存於本地設備。但是,我們證實這並不真實。
 
降低風險
AceDeceiver的所有三個木馬程式已於2016年二月下旬被Apple從App Store中移除。即使如此,「愛思助手」Windows程式仍能通過使用「FairPlay中間人攻擊」把這些應用程式安裝到沒有越獄的iOS裝置上。我們亦就擁有舊企業認證簽署的AceDeceiver應用程式向Apple報告,所有已知被利用的企業認證已被廢除。
 
我們建議安裝了「愛思助手」Windows程式或於2015年三月後安裝了「愛思助手」iOS程式的用戶立即刪除這些軟件和應用程式,並更改他們的Apple ID密碼。我們亦建議所有iOS用戶啟用Apple ID 雙重認證。
 
企業方面,我們建議他們利用以下識別,檢查是否有安裝任何用於管理Apple裝置的iOS應用程式:
•  com.aisi.aisiring
•  com.aswallpaper.mito
•  com.i4.picture
 
了解詳情請參閱網誌全文:
http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/