欢迎来到天天文库
浏览记录
ID:37733029
大小:26.50 KB
页数:9页
时间:2019-05-29
《假面攻击:你所有的iOS应用都在我们的手掌心》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、2014年11月10日,火眼(Fireeye)移动安全研究人员发现那种使用enterprise/ad-hoc授权文件(provisioning)安装的iOS应用会替换掉从AppStore下载的正版iOS应用,前提是两个app使用的是相同的bundleidentifier。这个恶意软件使用随机名称(比如“新生气小鸟”),诱使用户安装下载,但安装后就会发现,它并没有安装“生气小鸟”,而是将从AppStore下载的合法应用替换掉了。所有从AppStore上下载的应用都能被替换掉,除了iPhone本身自带的应用(如MobileSafari)。这个漏洞出现的
2、原因是iOS并没有严格要求使用相同bundleidentifier的应用的证书要匹配。目前我们发现漏洞存在的版本有iOS7.1.1、7.1.2、8.0、8.1以及8.1.1beta,iPhone越狱和非越狱机都受影响。攻击者利用该漏洞的方式可通过无线网络或USB。我们将这一漏洞命名为“假面攻击”。我们在7月26日就已向苹果公司报告了这一漏洞。最近克劳德.箫发现“WireLurker”恶意程序。在仔细研究了WireLurker后,我们发现它开始利用“Masque攻击方式”的有限形式通过USB来公司iOS设备。假面攻击带来的攻击破坏要强于WireLur
3、ker。Masque攻击能导致iPhone上从AppStore上下载的合法应用被替换掉,比如银行或邮件应用。这意味着攻击者能够窃取用户的银行凭证信息,只要恶意软件和将要被替换的合法应用使用一致的UI界面。我们惊奇得发现,恶意程序甚至能够接入原始应用的本地数据,而且当原始应用被替换掉时本地数据扔保留了下来。这些本地数据中可能包含缓存的邮件,或甚是登陆许可证(login-tokens),以后恶意程序可使用这些关键信息来直接登陆用户账户。目前,我们发现这个漏洞问题已经开始传播。所以面对这样的形势,我们认为有必要让公众了解详细情况,因为潜在的危险可能影响到
4、每一个人。与此同时,我们也向大家列出了一些解决办法,帮助iOS用户能更好的享受到应有的服务。安全影响通过Masque攻击,攻击者能够诱使受害者下载安装恶意应用,使用伪造的应用名(攻击者起的名字),而且该恶意应用会将合法的应用替换掉(使用相同的bundleidentifier)。Masque攻击方式无法替换iPhone自带的应用,如MobileSafari,但就是能替换从AppStore下载的应用。经过我们的总结发现,假面攻击会带来以下严重的安全后果:1.攻击者会模仿原始应用的登陆界面以窃取用户的登陆凭证信息。我们通过对多个银行及邮件应用已经验证了这
5、个事实。就是说这个恶意程序会使用与原始应用相同的UI界面欺骗用户,诱使他们输入自己的登陆凭证信息,然后攻击者将凭证信息传送到远程服务器上。2.我们还发现原始应用的目录下的数据,比如说本地数据缓存,即使在原始应用被替换掉时,这些本地数据仍保留在恶意应用的本地目录中。所以恶意程序窃取了这些敏感信息。我们通过邮件类应用证实了这个事实,具体发现就是恶意软件窃取了重要邮件的本地缓存,然后将这些信息上传到其远程服务器上。3.MDM(移动设备管理)接口无法辨别恶意应用和原始合法应用,如果它们使用的是相同的bundleidentifier。目前MDMAPI不会获取
6、每个应用的凭证信息(certificateinformation)。这样的话,MDM也就很难发现此类攻击。4.我们曾在病毒公告白皮书2014(Applewithoutashell–iOSundertargetedattack)中提到过,那些使用enterpriseprovisioning描述文件(我们都将其称作“EnPublic应用”)的应用不受苹果审查。因此,攻击者就是利用这一漏洞,使用iOS私有API进行强大的攻击活动,比如像后台监控(CVE-2014-1276)和模仿iCloud的UI界面来窃取用户的AppleID和密码的活动。5.攻击者通过
7、Masque攻击还能绕过正常应用的沙盒,然后通过利用iOS已知漏洞获取root权限,比如之前盘古团队进行的攻击活动。举例我们在进行实验时,使用了一个内部应用,用的bundleidentifier是“com.google.Gmail”,应用名字为“新生气小鸟”。我们通过enterprise凭证给这款应用签名。当我们从网站上安装这款应用时,它便替换了iPhone上原始的Gmail应用。图1图1展示了整个过程,图1中的a、b展示了合法的Gmail应用已安装在iPhone设备上,而且有22封未读邮件。图1中c展示受害者被引诱去安装下载(从网上)一个名为“新
8、生气小鸟”的内部应用。需要注意的是“新生气小鸟”是这个恶意程序的名称,其实攻击者可以把它设置成任意的名字。但这个恶意程序用
此文档下载收益归作者所有