ADVERTISEMENT
Apple針對iPhone與iPad等行動裝置所推出的iOS作業系統始終有著相對優良的安全性,不過最近除了遭受XcodeGhost大規模感染之外,iOS 9也被密碼保護也遭破解,以致攻擊者能直接存取受害裝置上的私人照片與通訊錄。如今iOS面臨了更嚴峻的挑戰,名為YiSpecter病毒不但能感染已越獄的裝置,連沒有越獄的裝置也慘遭毒手。
首見感染非越獄裝置的病毒
Apple推出的iOS作業系統在預設狀態下,並沒有給與使用者系統的最高權限,這樣的設計雖然造成了許多限制,但是反過來說也提高的系統的安全性。
簡單地說,使用者在一般狀態下只具備有限的權限,無法觸及iOS的系統核心或是修改核心檔案與設立,各款App皆在沙盒環境中執行。舉個例子來解釋這個概念,可以把iOS想像成一間學校,系統核心是校長室,而各App就是一般校室,因為校長室有上鎖,所以學生只能在各校室活動,就算遇到壞學生把校室破壞掉,校長室並未受到影響,校長還是可以坐鎮校長室發號施令,趕走壞學生並重建教室。
ADVERTISEMENT
然而將iOS越獄之後,使用者系統就能取得最高權限,雖然這不代表惡意程式也能隨之取得最高權限,不過還是會提高資安風險。回到上面舉的例子,就像校長把鑰匙交給某位老師,老師並不會把鑰匙交給壞學生,但是壞學生透過各種方式拿到鑰匙的機會卻變多了,也讓他有機會進入校長室,進而控制整所學校。
在這之前,針對iOS進行攻擊的惡意程式,只能感染已越獄的裝置,但是YiSpecter卻能透過特殊的手法,感染未越獄及已越獄的裝置,這也是第一個使用私人API(Private API)對iOS進行攻擊的惡意程式。
ADVERTISEMENT
▲沙盒的概念就像沙坑一樣,屬於1個特定的封閉環境,所有動作對作業系統不會造成影響,並且隨時可以還原到初始狀態。這種技術被也廣泛用於測試可能帶有病毒的惡意程式。
影響範圍深遠
YiSpecter主要的感染途徑是透過4個已簽署企業認證(Enterprise Certificate)的元件入侵iOS,這些元件會濫用私人API的權限,從特定指令控制伺服器(Command and Control Server,也稱C2 Server)下載。在植入裝置之後,這些元件不但會使用與系統內建App一樣的名稱與圖示魚目混珠,還會隱藏自己的圖示,讓使用者在iOS主畫面不會看到惡意程式的圖示,降低被使用者察覺的機會。
遭感染的裝置會被從遠端遙控安裝App、出現全螢幕廣告、竄改Safari瀏覽器書籤與搜尋引擎、竊取使用者資料,當使用者移除惡意軟體後,還可能會再次被自動安裝。
ADVERTISEMENT
若讀者的裝置不幸遭到感染,可以依下列步驟移除惡意軟體:
1. 到「設定」->「一般」->「描述文件」中刪除可疑的描述檔。
2. 移除所有名字包含「情涩播放器」、「快播私密版」或「快播0」或類似字眼的App。
3. 使用第三方iOS管理工具(如iFunBox)連接裝置與電腦,移除所有如電話、天氣、遊戲中心、備忘錄等與iOS原廠App名字相同的App。
▲當裝置遭感染之後,就可能會出現者種惡意廣告。(圖片來源:)
ADVERTISEMENT
延伸閱讀:
ADVERTISEMENT