iOS再曝高危險漏洞,會置換你合法下載的應用程式

假面攻擊的另一面:iOS應用程式沒有加密資料

根據趨勢科技在10月所公布的iOS威脅「假面攻擊(Masque Attack)」所做的研究,趨勢科技研究人員發現惡意應用程式有新的方法在成功的假面攻擊後威脅到iOS設備:經由存取合法應用程式所使用的未加密資料。

Masque

 

根據報導,這種 iOS 威脅利用企業配置文件來攻擊未經越獄的 iOS 設備,就像是WireLurker。因為配置文件允許企業在 iOS 設備上安裝自製應用程式而無需經過 Apple 審查。它們可以透過 iTunes(通過USB介面)或無線傳輸來經由應用程式商店散播這些應用程式。

雖然 WireLurker 威脅已被發現會透過 USB介面安裝假或惡意的應用程式,假面攻擊還會造成更嚴重的後果。只要使用相同的簽章金鑰或Bundle ID,假面攻擊就可以將原本安裝的應用程式置換成惡意版本。而接下來,新置換(和惡意)的應用程式可以執行像竊取敏感資料的動作。

Masque app

假面攻擊揭示應用程式漏洞

企業配置文件可以如何被惡意應用程式濫用已經被大肆的報導。但當惡意應用程式想辦法進入 iOS 設備後,會發生什麼事?

趨勢科技測試了幾個應用程式,發現一些受歡迎的iOS應用程式不會對它們的資料庫進行加密。在我們的分析中,我們只用檔案瀏覽器就可以存取這些檔案。此外,我們測試的是簡訊和通訊應用程式,這意味著它們會儲存大量敏感資料,像是姓名和連絡資訊。

圖1、即時通(IM)應用程式內未加密的資料庫

圖1顯示一個熱門即時通應用程式的傳入和傳出訊息並未加密。任何資訊竊取惡意軟體都可以輕易地查看訊息來找資料。下圖2有一樣的結果,這次是個在中國熱門的電子郵件客戶端應用程式。

 

圖2、中國本土的電子郵件用戶端內的未加密電子郵件

 

同時看到另一款熱門的訊息應用程式也發現郵件和連絡人列表沒有加密。

圖3、未加密訊息

圖4、未加密的連絡人列表

 

該熱門訊息應用程式最近宣佈他們會實施點對點加密,所以上述缺陷可能不再存在。該變化已經做到了Android版本上,即將推出到iOS。

 

對應到 Android是不同的故事

讓我們的發現更有意思的是,上述發現並無法套用在這些應用程式的Android版本。我們發現這些應用程式的Android版本資料庫有進行加密。攻擊者需要進行解密才能存取資料。

圖5、Android版本中文即時通應用程式(上)及中國本土電子郵件用戶端(下)的加密資料

Android版本加密可能是因為大多數行動威脅都針對Android平臺。而相較之下iOS的威脅較少,所以開發人員可能不覺得需要在iOS應用程式內進行加密。

公開的企業配置文件

會讓假面攻擊真正具備威脅的原因或許是因為企業配置文件被用在第三方應用程式網站,尤其是在中國。

圖6、透過企業配置文件來安裝應用程式的使用者會看到此通知

一個在中國的第三方應用程式商店甚至開發離線終端機來提供免費的應用程式安裝給Android和iOS設備。後者的安裝方式依賴于企業配置文件。這終端機可以在有龐大人潮的地方看到,如機場、戲院、甚至是KTV。雖然它可能提供了更簡單的方法來將應用程式安裝到設備上,卻會危害到安全。

保護 iOS設備

應用程式開發人員,尤其是 iOS 設備開發者,當觸及應用程式安全時不該自滿。因為WireLurker 和假面攻擊已經證明了 iOS 設備並不會免于行動威脅。雖然 iOS 設備可能不會吸引像 Andorid 上那樣龐大數量的威脅,但 iOS 上的威脅確實存在。

Apple 使用者在自己的設備上安裝應用程式時要小心謹慎。盡可能只從  iTunes 或 App Store下載。確保你的 Apple設備更新到最新狀態。強烈建議需要從其他來源安裝軟體的使用者(選擇去使用其他 App Store和確認的開發者)在安裝前要非常小心,並且要確認安裝程式來自受信任的來源,而且未經篡改。

Masque Tips

@原文出處:The Other Side of Masque Attacks: Data Encryption Not Found in iOS Apps作者:Brooks Hong(行動威脅回應工程師)

Masque

 

 

 

下載 PDF 檔案,看更多說明