手機病毒/手機平板行動安全 - 資安趨勢部落格

山寨版「Akinator the Genie」遊戲,現身Apple App Store

2014 年 10 月 16 日2014 年 10 月 15 日趨勢科技 TrendMicro

山寨版應用程式 – 新的 iOS 疑慮？

在威脅環境中，有時很難區分一件事物是否應該被視為威脅。當然，也有很明顯的威脅（就是：惡意軟體），但也有一些值得討論。其中一個例子就是「山寨版」應用程式或「惡搞版」應用程式。

顧名思義，「山寨版」或「惡搞版」應用程式有著類似其他應用程式的功能，甚至名稱。科技網站 Ars Technica寫過一篇文章，強調了山寨版應用程式多快就能夠進入應用程式商店。上述文章所提到的是個照片剪輯應用程式，在2013年五月中上到 Apple App Store；在同年八月，有七個山寨版本出現在 App Store。

正版: 「Akinator the Genie」, 山寨版:「Akinator Genie」評價大不同

趨勢科技在 Apple App Store上發現另一個熱門應用程式 – Akinator the Genie 的惡搞版本。山寨版本稱為「Akinator Genie」，開發人員名稱是 Jennifer Mendeison，這人已經因為山寨應用程式而知名。使用者可以在 App Store下載這個山寨版應用程式。

圖1、官方的「Akinator the Genie」應用程式（上圖）和山寨版本（下圖）

這些應用程式的內容是相同的：一個名叫「Akinator」的精靈會透過問幾個問題來猜測使用者在想什麼。原始版本會猜測真實或虛構的人物。而山寨版應用程式則是猜測形狀。繼續閱讀

Android惡意軟體利用SSL來躲避偵測

2014 年 10 月 14 日2014 年 10 月 15 日趨勢科技 TrendMicro

安全套接層協議（SSL）和它的後繼者傳輸層安全協議（TLS）都是設計來提供客戶端和伺服器之間有著安全加密的連線。為了進一步地進行身份驗證和加密，伺服器必須提供憑證。通過這過程，伺服器可以直接有效地證明其身份。

使用 SSL 連線，雙方可以確保通訊的有效性和安全性。這對某些服務來說非常有用，像是網路銀行、電子郵件、社群網路，它們需要建立安全通道來交換客戶端和伺服器間的資訊。

不幸的是，這項技術也成為了兩面刃。Android 惡意軟體現在會利用 SSL 來隱藏自身行為並且逃避偵測。

使用 SSL 伺服器

SSL伺服器已經成為Android惡意軟體的目標。惡意軟體可以使用下列三種之一的伺服器。

1.不知名自行管理伺服器 – 要使用不知名的自行管理SSL伺服器，惡意軟體作者需要建立自己的TrustManager（可以決定接受憑證）和 SSLSocket讓其惡意應用程式信任該伺服器憑證。建立自己的TrustManager和SSLSocker是必要的，因為惡意軟體伺服器憑證通常並沒有預設包含在Android作業系統中。這樣做通常需要更多的精力：當伺服器或網域變更時（通常是為了應對防毒偵測），SSL連線在驗證過程中可能會失敗。惡意軟體作者必須更新憑證和客戶端應用程式以重新建立連線。此外，使用自行簽發的憑證和固定的伺服器會被資安公司輕易而快速地偵測。所以只有少數惡意軟體利用這種方式也就並不令人驚訝。繼續閱讀

AppLock漏洞,可變動 Google Ad 設定檔

2014 年 10 月 09 日2014 年 10 月 06 日趨勢科技 TrendMicro

我們之前討論過有些上鎖應用程式沒有適當的隱藏檔案。趨勢科技最近看到另一個上鎖應用程式 – AppLock 有相同的問題。只是這應用程式並不只是沒有隱藏好檔案，還包括了讓其他應用程式能夠變動它的設定檔。設定檔內包含了應用程式的偏好設定、登錄密碼和電子郵件，甚至包括 Google Ad Publisher ID，這被用在 Google 的 AdSense 帳戶。

存取設定檔

當使用者試圖「鎖住」或「隱藏」一個檔案時，應用程式只會將其從原本的位置搬到SD卡上的特定位置 – 位在/sdcard/.MySecurityData/dont_remove/下的子目錄。「隱藏」的檔案既沒被加密也沒有用任何方式進行編碼。和此檔案相關的資料，像檔案名稱、副檔名和時間戳記都被塞入SD卡上一個全域可讀的資料庫，路徑是/sdcard/.MySecurityData/dont_remove/6c9d3f90697a41b。因為這資料庫是全域可讀，所以任何應用程式都可以讀取或存取此資料庫。

惡意份子可以利用這一點來操弄此應用程式的設定檔。一種操弄檔案的方式是改變應用程式的 Google Ad Publisher ID。如上所述，此 ID 用於 Google 的 Adsense，用來產生廣告所帶來的收入。攻擊者可以藉由鎖住一個檔案開始來存取資料庫。

因為資料庫儲存在SD卡上，無須特殊權限來編輯檔案。只需要一般用於讀寫檔案的權限 – android.permission.MOUNT_UNMOUNT_FILESYSTEMS和android.permission.WRITE_EXTERNAL_STORAGE。

圖1、讀取資料庫

攻擊者接著可以建立一個假的 Google Ad 設定檔，然後將其放到一特定路徑。然後可以更新資料庫以指向此路徑，透過應用程式的「解鎖」功能來觸發。如下面截圖所示，該設定檔被成功地變更。

圖2、成功插入假的 Google Ad 設定檔

繼續閱讀

iPhone 刪除的照片,竟還留在 iCloud ? 再談女星雲端裸照外流事件

2014 年 09 月 24 日2016 年 05 月 19 日趨勢科技 TrendMicro

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除，如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了，那麼推薦你看這一篇文章。

作者：Vic Hargrave (趨勢科技資料分析軟體架構師)

當我聽到有明星因 iCloud 帳號被駭客入侵而使得自己的裸照被上傳到匿名分享網站 AnonIB 時，我其實一點也不覺得意外。不過，雖然將這麼私密的資料儲存在雲端原本就是一項冒險行為，但對於這些明星的尷尬處境我也深表同情。畢竟，照片是因遭人竊取才會外流，並非個人意願。就我來看，行動運算與雲端儲存的便利性在這件事上也要負擔部分責任。你很容易就可能建立一個密碼強度不足的雲端儲存帳號。視你的行動 App 程式而異，有時照片、音樂、文件或任何其他資料會在背後自動上傳至雲端，而你並不會留意。

一旦你的檔案上傳到雲端，你手機上的相簿就不一定會和你雲端上的相簿同步。我覺得許多使用者並不了解他們的資料到了雲端會怎樣，甚至是資料怎麼上傳到雲端的。

單純只是另一個雲端破解案例

就目前看來，應該是有一名叫作「OriginalGuy」的駭客入侵了明星的 iCloud 帳號並竊取照片。駭客攻擊的第一步是利用蘋果「我的 Apple ID – 建立一個 Apple ID」這個用來建立新帳號的網頁，在網頁上輸入一些可能的電子郵件來猜測受害者 iCloud 帳號的電子郵件地址。

如果某個電子郵件地址已有人使用，該頁面就會請使用者輸入其他可用的電子郵件地址。如此一來，駭客就知道某個電子郵件地址是否有人使用。接著，他就試圖用這個電子郵件地址來登入，不論是用猜測的密碼或是使用密碼破解程式。假使帳號的密碼強度不足，歹徒就不難猜到。這項技巧不光只適用於 iCloud 服務，也適用於 Box.com、DropBox 以及其他任何在建立帳號時能讓駭客知道某個電子郵件是否有人使用的服務。

行動資料分享或許太過容易

我所見過的大多數行動雲端儲存 App 程式都能讓你將智慧型手機中的照片自動上傳到雲端儲存。若你有多個這類帳號，你就很容易不知道哪些相片在何時被上傳到哪個雲端儲存。

最近我發現，當我用 iPhone 拍照時，照片會透過 WiFi 連線或是在我手機接上筆電的 USB 連接埠時自動上傳到我的 DropBox 帳號。我不記得自己曾經在 DropBox App 上做過這樣的設定，這樣的現象似乎是某一天自己突然開始。有可能是我某一次更新 DropBox 之後才開始，也可能是我不小心開啟了這項功能。不過每當它發生時，不論是我的動作結果或是軟體的運作結果我都不曉得。

這才是重點：身為一個每天都要接觸電腦科技、行動裝置等等的軟體工程師，我自認是個相當熟悉科技的人。但我竟不曉得自己的智慧型手機是如何開啟這項照片自動上傳至 DropBox 的功能。

我必須自己到手機應用程式設定當中手動關閉這項「功能」，就連我們這種熟悉技術的人都還如此，也難怪那些生活忙碌的電影明星會不知到自己的照片被上傳到雲端。繼續閱讀

Android FakeID漏洞的危險性

2014 年 08 月 28 日2014 年 08 月 23 日趨勢科技 TrendMicro

Bluebox Labs的安全研究人員最近發現一個可以讓惡意應用程式冒用合法程式的漏洞。這漏洞被稱為「FakeID」，跟檢查憑證簽章以證明應用程式合法性有關。這漏洞會被高度關注的原因是所有從版本2.1（「Éclair」）到4.4（「KitKat」）的Android設備都會受到此漏洞影響。

憑證和簽章

Android應用程式在發佈和推出安裝前必須先「簽章」過。簽章應用程式會使用憑證。像HTTP/SSL憑證模式，應用程式憑證是由受信任的憑證機構所發出。該憑證被用來確保應用程式發佈後的完整性，以避免被攻擊者篡改。這些憑證被應用程式用來作為其「包裝簽章」。這些簽章被Android用來識別應用程式。

Android如何去分配這些簽章？對於安裝在設備上的每一個應用程式，會建立一個稱為PackageInfo的類別到應用程式的配置檔案內。PackageInfo包含一個名為「signatures」的屬性，它對應用程式扮演了一個重要的角色。有了相同的簽章，應用程式可以作為另一應用程式的更新程式，或者兩個應用程式可以相互分享它們的資料（如某種形式的共享機制）。在某些特殊情況下，Android可以決定是否要透過比較應用程式有無相同的簽章在其「signatures」屬性以給予應用程式權限，因為簽章寫死在Android的原始碼中。

Bluebox Labs舉出兩個可行的例子。一個是支付相關的應用程式被允許存取行動設備的NFC SE硬體，因為有簽章指定在設備的NFC相關檔案中。另一個是應用程式被允許作為其他應用程式的webview外掛程式（就像是Adobe Flash Plugin），因為應用程式有Adobe系統的簽章。

憑證鏈的漏洞

一旦應用程式被安裝到設備內，Android平台透過利用應用程式的憑證檔案來建立憑證鏈以建立它的PackageInfo簽章。然而，因為這個漏洞，Android不會驗證憑證鏈的真實性。只會依靠簽章者憑證的「Subject」和被簽章憑證的「發行者」間的對應關係。不幸的是，這兩個是明碼字串類型，可以輕易地被惡意人士偽造。

利用該漏洞

因為該漏洞跟應用程式的「真實性」有關，網路犯罪份子可以建立惡意應用程式來存取敏感資料而不引起任何懷疑。舉例來說，NFC的相關支付通常會使用Google電子錢包。如果一個惡意應用程式被授予NFC權限，它可以竊取使用者Google電子錢包的帳號資訊，更換指定的支付帳號並竊取使用者的金錢。

惡意應用程式還可以利用Webkit外掛程式的權力讓它具備關聯的權限和所需的簽章。該應用程式會在每次受害者使用瀏覽器應用程式瀏覽網站或使用其他需要webview元件的應用程式時，作為Webkit外掛程式程序來自動執行。由於惡意軟體是作為瀏覽器（或使用webview的其他應用程式）的元件程序運行，該惡意軟體幾乎可以完全控制應用程式的資料。所有相關的資料，如使用者認證資訊，銀行帳戶和電子郵件詳細內容都可以被存取、外洩或篡改。

大多數Android使用者都受到影響

正如我們前面所說，所有沒有OEM廠商提供修補程式的Android設備都會受到此漏洞影響。從Google目前的資料顯示，受影響平台約佔全部Android設備的82％。這受影響Android使用者的巨大數量也呼應了去年發現master key漏洞時的狀況。

Ｇoogle已經發表了對此漏洞的修復。然而，Android生態系的碎片化意味著並非所有使用者都能讓其設備得到防護。當有更新可用時，我們建議使用者要立即升級他們的設備。

Google發表聲明指出，他們已經「掃描所有提交到Google Play的應用程式，以及Google所能審查的Google Play以外應用程式，並…沒有看到任何證據顯示有對此漏洞的攻擊。」

為了保護我們的使用者，我們會繼續注意可能會利用此漏洞的威脅和攻擊。利用此漏洞的應用程式會被偵測為ANDROIDOS_FAKEID.A。

@原文出處：The Dangers of the Android FakeID Vulnerability作者：Simon Huang（行動安全工程師）