儘管 iOS 對應用程式的嚴格審查機制讓該平台相對不太會安裝到危險的程式,但卻也無法完全杜絕網路上的各種威脅。2016 年,趨勢科技已見到好幾個惡意程式利用蘋果的企業憑證機制或其他漏洞來避開蘋果的嚴格審查。
眼前的一個例子就是 iXintpwn/YJSNPI (趨勢科技命名為 TROJ_YJSNPI.A),這是一個惡意的組態設定檔,可造成 iOS 裝置變得毫無反應。這是日本一位初階駭客所留下的遺毒,此駭客已於今年六月初遭到逮捕。
儘管 iXintpwn/YJSNPI 目前似乎集中在日本,但就其目前在社群媒體上的氾濫情況來看,就算哪天擴散至其他地區也不令人意外。
iXintpwn/YJSNPI 最早於 2016 年 11 月下旬在 Twitter 上出現,接著也開始出現在 YouTube 和社群網站上。它會偽裝成一個名為「iXintpwn」的 iOS 越獄程式,與專門散布此惡意組態設定檔的網站同名。它會在受害裝置畫面上塞滿名為「YJSNPI」的圖示,也就是網路上流傳的「野獣先輩」的圖片。
不論作者當初是為了捉弄他人,或者是為了成名,其攻擊手法都相當值得關注,因為其他駭客也可將 iXintpwn/YJSNPI 所濫用的 iOS 功能 (也就是 iOS 未經簽署的組態設定檔) 變成一種攻擊武器。
YJSNPI 可經由使用者瀏覽含有惡意組態設定檔的網站而散布,尤其是當使用者所用的是 Safari 瀏覽器。此惡意網站含有 JavaScript 腳本,會在使用者瀏覽時傳回一個 Blob 物件 (也就是惡意組態設定檔)。當 iOS 裝置上最新版的 Safari 瀏覽器收到該物件時,就會去下載該設定檔。
圖 1:從程式碼可看出 YJSNPI 是一個 Blob 物件 (上),以及此物件如何經由 Safari 瀏覽器下載 (下)。
iOS 組態設定檔案遭到濫用
iOS 組態設定檔案,可讓應用程式開發人員簡化設定大量裝置組態的程序,包括:電子郵件、Exchange、網路、憑證等等的設定。例如,企業可利用組態設定檔來簡化內部開發應用程式與企業裝置的管理作業。除此之外,組態設定檔也可用於自訂裝置的某些設定,如:存取權限、Wi-Fi、Virtual Private Network (VPN)、Lightweight Directory Access Protocol (LDAP) 目錄服務、Calendaring Extensions to WebDAV (CalDAV)、網站影片、登入憑證以及金鑰等等。
很顯然地,歹徒可利用惡意組態設定檔來竄改設定,例如將裝置的流量重新導向。過去曾經發生過的案例有專門竊取資訊的 Wirelurker 以及暗藏廣告程式的 Haima 重新包裝程式。
以 iXintpwn/YJSNPI 為例,歹徒使用了一個未經簽署的組態設定檔,並且將它設定成「無法刪除」,因此更難將它移除 (如下圖所示)。為了長期潛伏,它會透過 JavaScript 隨機產生「PayloadIdentifier」字串的值。請注意,iOS 系統其實有對應的安全措施,也就是,當已簽署或未簽署的設定檔要安裝在系統上時,需使用者親自同意。兩者唯一的差別在於設定檔的顯示方式,例如,已簽署的設定檔會標示為「已經確認」。
圖 2:iXintpwn/YJSNPI 使用一個未經簽署的設定檔。
圖 3:惡意的組態設定檔被設定成不可移除 (左),其圖示填滿了整個手機螢幕 (右)。
