日前iOS才爆出XcodeGhost的安全性問題,讓使用者可能會因為從App Store下載到遭受感染的App,並讓裝置名稱、UUID識別碼、網絡設定、系統語言設定的等個人資料遭竊。而如今最新版本的iOS 9又被指出有方法能繞過密碼保護,讓攻擊者能直接存取受害裝置上的私人照片與通訊錄。
iOS也是問題重重
與較為開放的Android系統相比,封閉性較高的iOS有著相對優良的安全性,即便如此,iOS在過往還是遭遇到許多安全性的考驗,例如筆者先前曾經介紹過的SSL安全漏洞、Xsser mRAT惡意程式,以及可以讓置持續不斷當機的No iOS Zone攻擊,都是iOS曾經遇過的資安問題。
而日前許多官方App Store中的App遭受XcodeGhost大規模感染,也讓Apple顏面無光,雖然這起事件的起因為App開發者使用被動過手腳的開發工具,以至於App被植入惡意程式碼,不過對於以嚴格審查App出名的Apple來說,還是難辭其咎。
而這次Apple所引發的問題,是搭載iOS 9的iPhone、iPad、iPodTouch等iDecive裝置的Passcode密碼。一般來說Passcode是iDecive的第一道防線,可以阻止外人操作iDecive或是存取其中的資料。但是在最新版本的iOS 9上,無論使用者是單純使用Passcode密碼,還是一併使用Passcode密碼與Touch ID指紋加密功能,攻擊者都能在30秒內破解加密,存取私人照片與通訊錄等資料。
▲XcodeGhost的起因為有許多中國的App開發者,並非透過Apple官方管道取得App開發工具,而下載使用被動過手腳的工具,導致App被植入惡意程式碼。
▲受感染的App以中國產品為主,連微信等大廠也中標。
30秒破解保護
資安公司Zerodiumb日前宣布舉行獎金高達美金100萬元(約合新台幣3,300萬元)的懸賞活動吸引獎金獵人,並在說明往頁中提到在多次系統升級與安全性補強之後,iOS可以說是目前最安全的行動裝置作業系統,但是安全不代表無堅不摧,等於無法被破解,只是破解的成本相當高,所以該公司才會提出獎金如此高的懸賞活動。
事隔1天,就有駭客發表了能夠簡單繞過iOS 9加密的方式,其操作流程為:
1. 喚醒裝置,並輸入4次錯誤的Passcode密碼。
2. 第5次輸入時,只輸入3位數(如果使用4位數密碼)或5位數(如果使用6位數密碼),並按住Home鍵,在啟動Siri的瞬間輸入最後一位數。
3. 詢問Siri時間。
4. 點擊時鐘圖示並開啟時鐘App,並在世界時鐘中加入新地區(叫出文字輸入對話框)。
5. 雙擊寫入的文字,叫出文字選單,並選擇分享。
6. 點擊訊息圖示,並隨意輸入收件人名字,點擊出現的名字,就可以看到通訊錄資訊。
7. 如果點選建立新聯絡資訊,並依序點擊增加照片、選擇照片,則可以自由瀏覽手機中的照片。
雖然這個破解手法無法從遠端操作,和Zerodiumb的懸賞條件不同,所以無法贏得高額獎金,但是對使用者來說仍是資安威脅。在Apple推出更新檔修正這個漏洞之前,使用者可以先到設定的密碼與Touch ID選單中,關閉在鎖定畫面中使用Siri功能,暫時迴避這個問題。
▲在破解手法的展示影片中,可以看到這個破解手法相當簡單,遭受攻擊裝置中的照片、通訊錄等資料可能會被看光光。
而且 App 本來就是要網路連線,本來就是要取得資訊後傳。幾乎所有和網路有關的 App 都在做相同的事,甚至你現在用瀏覽器開這個網頁,上面的 Tracking Script 一樣也是在做做類似的事。唯一的差別,就是開發者自己都不曉得自己的 App 有這些「功能」。
既然植入程式碼沒有違反任何規則,所有動作又和「正常」的 App 沒啥兩樣,在這種情況下,Apple 又如何能夠「預先把關」?發給每個審查員一顆水晶球?還是送他們去超能力訓練班?
換句話說,如果你是個 App 開發者,就算你沒去地下管道抓 IDE 來用,但是只要你疏忽大意,上網找第三方廠商的函式庫、卻懶得比對 MD5,你一樣有機會中標。而且函式庫污染可是比 IDE 污染更難抓。
像 XcodeGhost 這種類型的函式庫污染攻擊,根本就不是新聞。除了開發者自己小心警惕、然後事發後被動查緝下架以外,也沒別的好方法。
> 3300台幣…?
3,300萬台幣
感謝提醒,已修正