Apple針對iPhone與iPad等行動裝置所推出的iOS作業系統始終有著相對優良的安全性,不過最近除了遭受XcodeGhost大規模感染之外,iOS 9也被密碼保護也遭破解,以致攻擊者能直接存取受害裝置上的私人照片與通訊錄。如今iOS面臨了更嚴峻的挑戰,名為YiSpecter病毒不但能感染已越獄的裝置,連沒有越獄的裝置也慘遭毒手。
首見感染非越獄裝置的病毒
Apple推出的iOS作業系統在預設狀態下,並沒有給與使用者系統的最高權限,這樣的設計雖然造成了許多限制,但是反過來說也提高的系統的安全性。
簡單地說,使用者在一般狀態下只具備有限的權限,無法觸及iOS的系統核心或是修改核心檔案與設立,各款App皆在沙盒環境中執行。舉個例子來解釋這個概念,可以把iOS想像成一間學校,系統核心是校長室,而各App就是一般校室,因為校長室有上鎖,所以學生只能在各校室活動,就算遇到壞學生把校室破壞掉,校長室並未受到影響,校長還是可以坐鎮校長室發號施令,趕走壞學生並重建教室。
然而將iOS越獄之後,使用者系統就能取得最高權限,雖然這不代表惡意程式也能隨之取得最高權限,不過還是會提高資安風險。回到上面舉的例子,就像校長把鑰匙交給某位老師,老師並不會把鑰匙交給壞學生,但是壞學生透過各種方式拿到鑰匙的機會卻變多了,也讓他有機會進入校長室,進而控制整所學校。
在這之前,針對iOS進行攻擊的惡意程式,只能感染已越獄的裝置,但是YiSpecter卻能透過特殊的手法,感染未越獄及已越獄的裝置,這也是第一個使用私人API(Private API)對iOS進行攻擊的惡意程式。
▲沙盒的概念就像沙坑一樣,屬於1個特定的封閉環境,所有動作對作業系統不會造成影響,並且隨時可以還原到初始狀態。這種技術被也廣泛用於測試可能帶有病毒的惡意程式。
影響範圍深遠
YiSpecter主要的感染途徑是透過4個已簽署企業認證(Enterprise Certificate)的元件入侵iOS,這些元件會濫用私人API的權限,從特定指令控制伺服器(Command and Control Server,也稱C2 Server)下載。在植入裝置之後,這些元件不但會使用與系統內建App一樣的名稱與圖示魚目混珠,還會隱藏自己的圖示,讓使用者在iOS主畫面不會看到惡意程式的圖示,降低被使用者察覺的機會。
遭感染的裝置會被從遠端遙控安裝App、出現全螢幕廣告、竄改Safari瀏覽器書籤與搜尋引擎、竊取使用者資料,當使用者移除惡意軟體後,還可能會再次被自動安裝。
若讀者的裝置不幸遭到感染,可以依下列步驟移除惡意軟體:
1. 到「設定」->「一般」->「描述文件」中刪除可疑的描述檔。
2. 移除所有名字包含「情涩播放器」、「快播私密版」或「快播0」或類似字眼的App。
3. 使用第三方iOS管理工具(如iFunBox)連接裝置與電腦,移除所有如電話、天氣、遊戲中心、備忘錄等與iOS原廠App名字相同的App。
▲當裝置遭感染之後,就可能會出現者種惡意廣告。(圖片來源:Palo Alto Networks)
延伸閱讀:
iOS 8被發現重大漏洞,在路由器動手腳就能造成iPhone、iPad無限重開機崩潰
"This issue only impacts users on older versions of iOS who have also downloaded malware from untrusted sources. We addressed this specific issue in iOS 8.4 and we have also blocked the identified apps that distribute this malware. We encourage customers to stay current with the latest version of iOS for the latest security updates. We also encourage them to only download from trusted sources like the App Store and pay attention to any warnings as they download apps."
編輯有點混
企業憑證是一種 Apple 許可的軟體散布方式,
用意就是讓企業可以在公司與員工的設備上方便部署私有軟體,
不需透過 iTunes Store。
要取得企業憑證,要先加入 Apple 企業開發者會員,
之後 Apple 會核發一個憑證給你,
你可以把這個憑證加入 Xcode Project 用來簽署 App,
然後把這個 App 放在使用相同憑證的 HTTPS 伺服器上,
這樣就完成軟體部署的準備。
當使用者下載用企業憑證簽署的軟體時,
iOS 會問你是否要信任這個軟體(截圖 http://goo.gl/EbpZXS)
你選擇繼續安裝,App 才會啟動。
企業憑證的用意就是讓軟體開發者方便部署軟體,
當然也會有人拿來惡搞。
過去就有很多非法 App 都是用這種方式規避 Apple 查核,
例如 MAME、GameBoy 模擬器等。
惡用企業憑證的非法惡意軟體過去也發生過幾次。
YiSpecter 也是同樣類型的惡意程式,不過有一點不一樣;
這個惡意程式最獨特的一點,就是它不是一個人獨立犯案,
而是用「杜鵑鳥蛋」的黑吃黑手段,吃掉其他惡意軟體當跳板。
YiSpecter 的散布管道是透過其他的非法 Adware;
受害者是先被非法 Adware 感染,
然後 YiSpecter 再用偽造 DNS 等手段攔截 Adware 的連線,
讓自己的軟體元件偷渡到 Adware 中。
而受害者一開始被 Adware 感染的方法就不值一提了;
QQ 訊息的不明鏈結、色情網站上的彈出廣告,標準 EBKAC。
就像文中附的那張圖一樣(那張圖是網頁彈出的,小編搞錯了)
人要自己找死你是救不了他們的。
這種類型的惡意軟體其實也很好控制,
因為基本上這並不是什麼系統安全漏洞;
Apple 只要把核發的企業憑證列入黑名單,就自然掰掰了。
iOS 9 對於企業憑證有更嚴格的規範。
iOS 8 時代下載企業憑證簽署的軟體,只需要單次許可。
到了 iOS 9 使用者必須先單獨啟動企業憑證,
之後才能啟用該憑證簽署的 App。
當然,這種方式頂多也只能防止使用者誤觸,
對於精蟲衝腦一心想讓自己領達爾文獎的使用者,
再多防護措施也挽救不了愚蠢。╮(╯_╰)╭