Siri 漏洞:Apple 個人助理會洩漏個人資料

 

iOS上的Siri讓日常工作變得更加容易;無論是詢問到最近加油站的路線或是保持與不斷成長社交媒體網路的聯繫。iOS使用者只要講出聯絡人姓名,手機就會將電話號碼和電子郵件地址帶出來。然而,便利是有代價的:個人資料。

iphone MOBILE 手機

如果我告訴你,只要30秒,就可以讓任何人從朋友開啟Siri功能的iOS設備上拿到你的姓名、電子郵件地址、電話號碼甚至是你的照片,不管手機有沒有上鎖呢?會擔心嗎?

iOS行動設備上的Siri可能被濫用的情境是會讓任何人使用語音辨識來取得設備上的資料,即便有設定密碼。在理想狀態下,密碼鎖定應該會防止任何對行動設備上所儲存資料的未經授權存取,就跟電腦上的密碼一樣。鎖定的設備不該洩漏所有者的身份和聯絡方式,以及所有者的朋友、家人和聯絡人。Siri可以繞過這些而在鎖定的行動設備上提供詳細資料及其他功能。

自從Siri出現之後,就已經有多個相關討論串出現在Apple支援論壇上。然而,我們想要強調安全性和隱私方面的風險,並讓我們的讀者能夠注意到。

 

Siri可以做什麼?

一旦任何人可以實際上拿到你的行動設備,就可以用語音辨識呼叫多種命令,包括可以存取名字、電話號碼、行事曆及其他更多功能。這裡是鎖定而有啟用Siri的iOS行動設備上可以使用的命令列表:

 

  • 「我的名字」 – 顯示並唸出手機上Siri所設定「我的資料」內的名字。
  • 「傳簡訊給某某某/號碼<訊息內容>」 – 用指定內容傳簡訊給指定的聯絡人或電話號碼
  • 「打電話給某某某/號碼」 – 打電話給指定的聯絡人或電話號碼
  • 「更新臉書狀態<訊息內容>」 – 更新手機上所設定Facebook帳號的動態訊息
  • 「我的位置在哪裡」 – 顯示地圖和唸出目前位置
  • 「<某姓>」 – 顯示所有該姓聯絡人的聯絡方式
  • 「顯示我的電子郵件地址」 – 顯示和唸出手機上Siri所設定「我的資料」內的電子郵件地址
  • 「在明天早上3點叫醒我」 – 設定指定時間的鬧鐘
  • 「取消早上3點的鬧鐘」 – 關閉指定時間的鬧鐘
  • 「建立<日期/時間>的事件/提醒/約會/預約」 – 建立行事曆
  • 「顯示<日期/時間>的行事曆」 – 顯示指定日期或時間內的行事曆
  • 「刪除<日期/時間>的事件/提醒/約會/預約」 – 刪除指定日期和時間的行事曆

 

下圖示範使用者如何利用Siri命令來取得資料和執行其他操作:

 

 

圖1-4、各種Siri命令

繼續閱讀

Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全

就在 XcodeGhost 攻擊事件爆發之後沒多久,緊接著就出現了一個名叫「YiSpecter」的最新惡意程式,專門感染 iOS 裝置。根據報導,此惡意程式可自行安裝在已越獄或未越獄的 iOS 裝置。YiSpecter 是第一個利用 Apple 非公開 API 漏洞的 iOS 惡意程式,駭客經由官方的 App Store 來進入 iOS 裝置 (不論裝置是否已越獄)。研究人員發現此惡意程式已經在外活躍將近 10 個月,絕大多數受感染的使用者都在中國和台灣。

[延伸閱讀:利用暗藏惡意程式的 Xcode 開發工具感染 iOS 應用程式]           

iphone 手機  

YiSpecter 利用了獨創的自我散播技巧。其蹤跡最早可追溯至 2014 年 11 月,此惡意程式的散布方式之一是偽裝成網路色情視訊串流程式。此外,它還會藉由下列方式來散布:攔截來自國內 ISP 的流量、離線安裝應用程式、一個 Windows 裝置的社群網路蠕蟲,以及經由社群推薦。此惡意程式利用企業憑證和非公開 API 來躲過 Apple 的應用程式審查流程。

此惡意程式一旦進入 iOS 裝置,就能繼續下載、安裝、啟動其他應用程式,此外還會取代現有的應用程式、攔截廣告、修改瀏覽器預設搜尋引擎,並且上傳裝置資訊到幕後操縱 (C&C) 伺服器。而且,研究人員更發現,即使是手動刪除該惡意程式,它也還會再自己出現。

根據 Apple 最近發表的聲明:

此問題只會影響使用舊版 iOS 並從非可靠來源下載了惡意程式的使用者。我們已在 iOS 8.4 當中解決了這個問題,同時也封鎖了散布此惡意程式的應用程式。我們鼓勵客戶應隨時更新到最新版的 iOS 系統來獲得最新的安全更新。此外,也鼓勵客戶務必僅從可靠來源 (如 App Store) 下載應用程式,並且留意下載時所出現的任何警告。繼續閱讀

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。

iphone MOBILE 手機

XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人

上傳的版本:

圖 1:分享 Xcode 的網站。

但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)

 

圖 2:被改過的 Xcode 6.2。

 

圖 3:被改過的 Xcode 6.4。

受感染的應用程式

以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。

BundleID 版本 AppLabel
com.51zhangdan.cardbox 5.0.1 51卡保险箱
com.cloud1911.mslict 1.0.44 LifeSmart
cn.com.10jqka.StocksOpenClass 3.10.01 炒股公开课
com.xiaojukeji.didi 3.9.7 嘀嘀打车
com.xiaojukeji.didi 4.0.0 滴滴出行
com.xiaojukeji.dididache 2.9.3 滴滴司机
com.dayup11.LaiDianGuiShuDiFree 3.6.5 电话归属地助手
sniper.ChildSong 1.6 儿歌动画大全
com.rovio.scn.baba 2.1.1 愤怒的小鸟2
com.appjourney.fuqi 2.0.1 夫妻床头话
com.autonavi.amap 7.3.8 高德地图
com.stockradar.radar1 5.6 股票雷达
cn.com.10jqka.TheStockMarketHotSpots 2.40.01 股市热点
com.jianshu.Hugo 2.9.1 Hugo
com.wdj.eyepetizer 1.8.0 Eyepetizer
com.iflytek.recinbox 1.0.1083 录音宝
com.maramara.app 1.1.0 马拉马拉
com.intsig.camcard.lite 6.5.1 CamCard
com.octInn.br 6.6.0 BirthdayReminder
com.chinaunicom.mobilebusiness 3.2 手机营业厅
cn.12306.rails12306 2.1 铁路12306
cn.com.10jqka.IHexin 9.53.01 同花顺
cn.com.10jqka.IphoneIJiJin 4.20.01 同花顺爱基金
cn.com.gypsii.GyPSii.ITC 7.7.2 图钉
com.netease.videoHD 10019 网易公开课
com.netease.cloudmusic 2.8.3 网易云音乐
com.tencent.xin 6.2.5 微信
com.tencent.mt2 1.10.5 我叫MT 2
com.gemd.iting 4.3.8 喜马拉雅FM
com.xiachufang.recipe 48 下厨房
cn.com.10jqka.ThreeBoard 1.01.01 新三板
com.simiao-internet.yaodongli 1.12.0 药给力
com.gaeagame.cn.fff 1.1.0 自由之战

                        表 1:部分暗藏 XcodeGhost 程式碼的應用程式。

推播應用程式

面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。

受害國家和地區

根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。


圖 5:受害的國家。

趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。

原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)

 

 

 

 

540x90 line

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

從 Apple 對惡意程式防護軟體採取嚴厲措施,看 iOS 安全問題

 

據報,Apple 為了避免目前已發行六個多月的 iOS 8 (該公司宣稱為 iOS 有史以來最重大的一個版本) 給使用者一種含有可攻擊漏洞的印象,目前正在對 iOS App Store 上的病毒/惡意程式防護軟體採取嚴厲措施。

[延伸閱讀:iOS 8 最新安全功能 (The New Security Features of iOS 8)]

最近,一個知名的 iOS 電子郵件及雲端掃瞄 App 遭到 App Store 下架,使得原先希望自己轉寄給非 iOS 用戶的檔案不含惡意程式的該軟體使用者因而受到影響。Apple 的理由是,該軟體在 App Store 上的說明有誤導之嫌,可能讓客戶以為 iOS 8 產品含有漏洞。該軟體的代表指出 Apple 可能計劃將 iOS App Store 上的防毒和惡意程式防護軟體類別完全剔除。

我們目前仍未見到任何成功攻擊 iOS 8 平台的威脅,但這並不代表能夠假設該平台未來不會遭到攻擊或出現漏洞。基於下列理由,iOS 裝置用戶應該隨時保持警戒:

  • 封閉的生態體系不是應用程式安全的保證

去年,有數百萬的 iOS 用戶遭到 Masque 和 Wirelurker 的攻擊,不論越獄或無越獄的裝置都無法倖免。值得注意的是,Masque 和 Wirelurker 是透過企業內配發機制 (provisioning) 來攻擊無越獄的 iOS 裝置繼續閱讀

iOS 新間諜軟體,偷照片,窺簡訊,秘密錄音….!

趨勢科技持續地研究棋兵風暴行動(Operation Pawn Storm)時,我們發現一枚有趣的毒棋兵 – 一個特別設計給iOS設備的間諜軟體。針對Apple使用者的間諜軟體本身就很值得注意,再加上這個間諜軟體跟APT目標攻擊有關。

apple3

棋兵風暴行動(Operation Pawn Storm)的背景資訊

棋兵風暴行動(Operation Pawn Storm)是個活躍的經濟和政治間諜行動,針對了各種機構,像是軍事、政府、國防產業及媒體。

棋兵風暴行動(Operation Pawn Storm)背後的惡意份子往往會先出動許多棋兵以期能夠接近自己實際想要的目標。當他們終於成功感染一個主要目標後,他們可能會決定更進一步:進階間諜惡意軟體。

iOS惡意軟體也出現在這些進階惡意軟體中。我們相信iOS惡意軟體被安裝在已被駭的系統上,這跟我們在微軟Windows系統上所發現的SEDNIT惡意軟體很相似。

趨勢科技在棋兵風暴行動(Operation Pawn Storm)發現兩個惡意iOS應用程式。一個稱為 XAgent(偵測為IOS_XAGENT.A),另一個則使用合法 iOS 遊戲軟體的名稱 – MadCap(偵測為IOS_XAGENT.B)。經過分析,我們的結論是這兩者都是跟SEDNIT有關的應用程式。

SEDNIT相關間諜軟體的目的顯然的是要竊取個人資料,錄音,截圖,並將它們傳送到遠端的命令和控制(C&C)伺服器。在本文發表時,此iOS惡意軟體所連絡的C&C伺服器仍然存在。

XAgent分析

XAgent應用程式是全功能的惡意軟體。安裝在 iOS7 後,應用程式的圖示會被隱藏,並且會立刻在背景執行。當我們試圖殺死程序來終止它時,它幾乎會馬上重新啟動。

安裝惡意軟體到iOS 8的設備上則會出現不同的結果。圖示不會被隱藏,並且它也不能自動重新啟動。這顯示惡意軟體是在2014年9月推出iOS 8前所設計。

資料竊取能力

該應用程式目的在收集iOS設備上各種類型的資料。它能夠執行以下動作:

  • 收集簡訊
  • 取得連絡人列表
  • 取得圖片
  • 收集地理位置資料
  • 開始錄音
  • 取得已安裝應用程式列表
  • 取得程序列表
  • 取得無線網路狀態

繼續閱讀