iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗

儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。

2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。

根據感染裝置的所在地點而調整其行為模式

2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能利用軟體漏洞來避開 iOS 的隱私權保護機制。 Continue reading “iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗"

假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  

 

假面攻擊(Masque Attack)在2014年被首度報導,駭客只要使用相同Bundle ID的變造企業簽章應用程式就能替換掉App Store上的真正程式。Apple隨後就修補了這個漏洞(CVE-2015-3772CVE-2015-3725),不過當它關上了一扇門,詐騙分子也隨及打開了另一扇窗。Haima重新封裝過的廣告軟體和其原生Helper應用程式證明App Store詐騙仍然存在。

⊙ 延伸閱讀:iOS再曝高危險漏洞,會置換你合法下載的應用程式

趨勢科技在App Store上發現大量使用企業憑證及跟合法應用程式使用相同Bound ID的有問題iOS應用程式。經過深入研究後,我們發現Haima和其他第三方應用程式商店利用iOS程式碼簽章程序內的功能來達成資料繼承,從而完成其惡意行為。我們與Apple進行合作,並在iOS 10解決了這些問題,現在可以防止合法應用程式被造假版本蓋過。但是使用iOS 9.3.5或之前版本的設備仍可能受到影響,因此建議使用者要更新到iOS的最新版本。

 

潛在風險

不僅僅用來製造山寨版,這些漏洞也造成嚴重的風險,惡意分子可以針對合法應用程式來散布惡意軟體。詐騙者只需要建立跟正版應用程式具備相同Bundle ID的惡意程式,接著利用其熱門程度來誘騙使用者安裝他們的惡意軟體。企業所用的內部應用程式也一樣能夠透過相同Bundle ID來偽造、重新簽章和重新封裝。

對合法應用程式所造成的影響可能有很多種,取決應用程式如何控制自己的資料或如何實作其功能。許多合法應用程式用JavaScript來實作服務,其程式碼會自伺服器取回。利用這漏洞可以讓攻擊者用自己的伺服器連結替換掉原本的連結。讓他們能夠變更應用程式邏輯,接著控制應用程式的行為。

他們還可以修改資料來偽造網址,讓合法應用程式連到惡意服務來騙取個人身份資料,甚至直接竊取使用者的網路銀行帳號。還可以修改應用程式功能,例如替換應用程式開啟的網址來下載惡意軟體(在使用者「信任」憑證後執行)。也可以修改合法應用程式的廣告識別碼,將產生的廣告獲利轉給詐騙者。

 

假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)
圖1、假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)

Continue reading “假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  “

iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為

趨勢科技先前曾在一篇部落格當中探討過 iOS 平台的海馬 (海马)第三方應用程式商店。這商店中可發現許多被重新包裝並加入廣告模組的正版應用程式。

此應用程式商店之所以熱門,可說是拜「海馬蘋果助手」程式之賜。這是一個搭配其商店,讓使用者很容易安裝及管理應用程式的一個小程式,其角色類似大多數 iOS 使用者所用的 iTunes 程式。

只是很不幸地,這個程式本身就帶有惡意程式碼,趨勢科技將它命名為: TSPY_LANDMIN.A。

先安裝正牌 iTunes 程式

這個小助手需從海馬官方網站上下載,它會提醒使用者先直接從海馬的網站下載某個特定版本的 iTunes (12.3.2.25) 程式。此程式與 Apple 官方提供的版本一致,只是並非最新版本。

圖 1:iTunes 下載提示訊息。

圖 2:下載來源為海馬的伺服器。

這個小助手程式其實不需要 iTunes,此步驟只是要安裝該 iTunes 版本隨附的 iPhone 驅動程式而已。

接著套用修補套件

安裝好 iTunes 之後,程式接下來會從海馬的伺服器下載一個修補套件: Continue reading “iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為"

Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!

Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫(ZDI)的Simon Zuckerbraun所指出,光是換新的密碼是不夠的。為什麼?

password 密碼

 

如果你有一個Yahoo帳號,那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導,超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們,來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議,也是好的第一步,零時差專案(ZDI)研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。

變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!

和許多人一樣,Simon收到帳號被列入外洩事件的通知。也和許多人一樣,Simon登錄自己的帳號並變更了密碼。然後,他開啟設定會使用Yahoo帳號的iPhone郵件應用程式,原本預計將會出現輸入新密碼的提示,但是有些驚訝的是,他發現並不需要。儘管他已經變更了Yahoo帳號的密碼,手機仍然可以存取。

根據調查,顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期,變更密碼也不會撤銷。換句話說,如果有人取得你的帳號並且設定在iOS郵件應用程式內,他們還是可以存取該帳號,即便是在變更密碼之後。更糟的是,你很可能不會發現有人仍然可以存取你的電子郵件。

 

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

Windows10Banner-540x90v5

 

 

Continue reading “Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!"

新iOS惡意軟體「AceDeceiver」,沒有越獄的iPhone也可能造成威脅

新發現的iOS惡意軟體可能會影響到「任何設備」,根據Palo Alto Networks的報告,它甚至會影響沒有越獄過的設備。這惡意軟體被稱為AceDeceiver 註1,會利用Apple數位版權管理(DRM)機制的漏洞,跟之前iOS惡意軟體利用企業證書來感染未修改過設備的方法不同。

mobile iphone手機

註1:趨勢科技將Windows執行檔偵測為TROJ_ACEDECEIVER.A,並將iOS惡意軟體偵測為IOS_AceDeceiver.A。

 

[延伸閱讀:每支iPhone都不安全:Yispectre惡意軟體影響未經修改過的iOS設備]

 

那麼它會做什麼及它如何運作?這惡意軟體會利用Apple稱為Fairplay的DRM保護機制的一個設計缺陷。這作法稱為「FairPlay中間人攻擊」,讓攻擊者能夠安裝惡意應用程式到iOS設備上而無需經過Apple公司的安全措施。

示範情境:使用者會透過電腦上的iTune軟體從App Store進行購買和下載。在這裡,電腦被用來透過iTunes將應用程式安裝到連接的iOS設備上,但需要iOS設備自己收到應用程式授權碼來證明確實已經購買。

在FairPlay中間人攻擊中,授權碼被儲存並用來結合第三方的iTunes山寨版來騙過Apple設備相信自己已經合法購買了特定應用程式,可以自由地加以安裝而無需付費。

惡意的部分是這個iTunes山寨版作者讓自己的程式也可以利用Fairplay中間人攻擊在客戶不知情下將惡意應用程式安裝到手機上。這就是所發生的事情,山寨版iTunes程式(稱為Aisi Helper)將惡意應用程式(也就是AceDeceiver應用程式家族)強迫安裝到使用者手機上。  Continue reading “新iOS惡意軟體「AceDeceiver」,沒有越獄的iPhone也可能造成威脅"

Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全

就在 XcodeGhost 攻擊事件爆發之後沒多久,緊接著就出現了一個名叫「YiSpecter」的最新惡意程式,專門感染 iOS 裝置。根據報導,此惡意程式可自行安裝在已越獄或未越獄的 iOS 裝置。YiSpecter 是第一個利用 Apple 非公開 API 漏洞的 iOS 惡意程式,駭客經由官方的 App Store 來進入 iOS 裝置 (不論裝置是否已越獄)。研究人員發現此惡意程式已經在外活躍將近 10 個月,絕大多數受感染的使用者都在中國和台灣。

[延伸閱讀:利用暗藏惡意程式的 Xcode 開發工具感染 iOS 應用程式]           

iphone 手機  

YiSpecter 利用了獨創的自我散播技巧。其蹤跡最早可追溯至 2014 年 11 月,此惡意程式的散布方式之一是偽裝成網路色情視訊串流程式。此外,它還會藉由下列方式來散布:攔截來自國內 ISP 的流量、離線安裝應用程式、一個 Windows 裝置的社群網路蠕蟲,以及經由社群推薦。此惡意程式利用企業憑證和非公開 API 來躲過 Apple 的應用程式審查流程。

此惡意程式一旦進入 iOS 裝置,就能繼續下載、安裝、啟動其他應用程式,此外還會取代現有的應用程式、攔截廣告、修改瀏覽器預設搜尋引擎,並且上傳裝置資訊到幕後操縱 (C&C) 伺服器。而且,研究人員更發現,即使是手動刪除該惡意程式,它也還會再自己出現。

根據 Apple 最近發表的聲明:

此問題只會影響使用舊版 iOS 並從非可靠來源下載了惡意程式的使用者。我們已在 iOS 8.4 當中解決了這個問題,同時也封鎖了散布此惡意程式的應用程式。我們鼓勵客戶應隨時更新到最新版的 iOS 系統來獲得最新的安全更新。此外,也鼓勵客戶務必僅從可靠來源 (如 App Store) 下載應用程式,並且留意下載時所出現的任何警告。Continue reading “Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全"

趁著 iPhone 6s 上市,複習基本的行動安全守則

小改版的 iPhone 6s 和 6s Plus 或許不像前一代那樣令人驚艷,但仍有一些足以讓忠實粉絲開心的功能。

短短的幾年之內,智慧型手機在設計上已有飛躍性的成長。但是,當科技發展如此迅速時,安全通常會跟不上腳步。對網路犯罪集團來說,就算只是一丁點的漏洞,他們也會找到潛入你裝置的方法。

iphone MOBILE 手機

 

危機四伏

智慧型手機其實就像一部口袋裡的迷你電腦,所以,家中的網路 PC 會遇到什麼樣的威脅,智慧型手機一樣也會遇到,例如:

不僅如此,還有一些是智慧型手機特有的威脅,例如:

惡意應用程式經常假冒正牌應用程式,它們常見於非官方應用程式商店。這類程式包括專門撥打高費率付費電話的「盜打程式」、間諜程式、勒索軟體 Ransomware,以及資訊竊取程式等等。 Continue reading “趁著 iPhone 6s 上市,複習基本的行動安全守則"

< 小廣和小明的資安大小事 >小明的手機不見了?!

《小廣和小明的資安大小事 》首次登場,歡迎收看~

couple 小廣小明

資安漫畫 手機篇

日本資安漫畫 banner

 

你的智慧型手機有設定螢幕鎖嗎?

智慧型手機是最容易失竊或遺失的物品之一。萬一落入心懷不軌的人手中,不只是私藏照片被外人看到,感到囧很大而已。該擔心的是手機中的聯絡人資訊、網路銀行或線上購物等網路服務可能遭到非法使用。 Continue reading “< 小廣和小明的資安大小事 >小明的手機不見了?!"

我的iPhone刀槍不入?

iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎?「較少被針對」真的等於「更加安全」嗎?

作者:趨勢科技全球安全研究副總裁Rik Ferguson

 

 

Mobile bank

大部分對行動作業系統及服務的疑慮都集中在Android平台相關的風險。這個生態系統開放且散佈廣泛的本質無疑地也讓它成為最普遍也最廣泛的目標,也遭受到最成功的攻擊。

Google 的 Android系統跟 Apple iOS 相較起來,一向都有著較不嚴謹的應用程式權限系統、因為支援第三方應用程式而更加開放的應用程式散播方式,更加廣泛地嵌入在各種設備和服務內。因為這些以及諸多原因,網路犯罪分子將注意力都集中在此平台上,幾乎忘了Apple iOS。事實上,我們目睹了惡意軟體和惡意應用程式在Android平台上出現無人可比的快速爆炸性成長。Android惡意軟體在僅僅三年內就達到Windows惡意軟體用上15年所達到的數量。

正因為如此,所以也可以理解為什麼 iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎?「較少被針對」真的等於「更加安全」嗎?答案是否定的;沒有上鎖的房子仍然可能被侵入,即便它還沒有被竊過。

一個對此的客觀評估是檢視各平台上通報的漏洞數量。結果可能令人驚訝。根據美國國家漏洞資料庫,iOS自其最初版本開始已經有了超過 400個漏洞,而 Android 以接近 350 個拿到第二名。因為iOS上市的時間稍微久一點,所以這細微的差別幾乎不值一提。更值得注意的是 iOS 平台上稀少的惡意軟體。

有兩個因素可能會在不久的將來結合起來打破這種不平衡的情況;一個由廠商控制,而另一個則顯然的不是。

現在一個關鍵的產業趨勢是融合,Apple也不例外,Mac OS 和 iOS 在功能上已經有越來越大程度的融合,誰敢說未來不會從程式碼資料庫的角度進行。桌面設備、行動設備、智慧型設備、居家視聽和穿戴式設備的融合會產生更加均勻和相互關聯的受攻擊面,無疑地會讓攻擊者想加以利用,再加上了使用者自以為刀槍不入的錯誤心理,對攻擊者來說變得非常具有吸引力。

第二個因素可以回顧到我們在2014年底所做的預測。會在未來12個月內看到第一次真正的跨平台漏洞攻擊包出現。這會提供一種自動化的方式來攻擊各種被針對系統的漏洞。如果是在智慧型手機上,這代表攻擊者可以打破應用程式商店環境的牢籠。不再需要依靠第三方應用程式商店和部分受害者的不當行為去安裝假應用程式。

跨平台漏洞攻擊包將讓攻擊者可以同等的攻擊 iOS和 Android,只要有漏洞存在,就跟他們在傳統的運算環境上所作的一樣。行動作業系統上的嚴重漏洞就會和桌上電腦一樣,對攻擊者來說具備相同的重要性、吸引力和價值,也會對防禦者帶來相同的問題。有鑒於行動裝置相當程度的整合在工作和個人生活而且缺乏管理,後果甚至可能更令人憂心….

 

@原文出處:My iPhone is like a Shield of Steel