iOS - 資安趨勢部落格

數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊

2015 年 02 月 06 日2015 年 10 月 05 日趨勢科技 TrendMicro

iOS 裝置已成為一項名為 Pawn Storm 的「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）最新目標，這是一項有組織的政治、經濟間諜行動，專門鎖定美國的軍方、大使館及國防承包商人員。趨勢科技研究人員發現兩個專門針對 iOS 7 平台的間諜程式 (目前活躍中的 iOS 裝置約有四分之一仍在使用 iOS 7)。就數量而言，Apple 光去年就賣出了 1.3 億台 iOS 裝置，因此 Pawn Storm 的潛在目標至少在千萬之譜。

[延伸閱讀：深入探討 Pawn Storm 間諜攻擊行動 (An In-depth Look at Pawn Storm Espionage Attacks)]

趨勢科技研究人員發現的這兩個間諜程式可暗中監控 iOS 裝置，其行為特徵與 SEDNIT 惡意程式相似，因此可斷定是 Pawn Storm 攻擊行動所有。依據過去經驗，Pawn Storm 的所有攻擊階段當中都會用到 SEDNIT 或 Sofacy 惡意程式，此外也用於該行動的魚叉式網路釣魚郵件當中。

這兩個惡意程式都是 XAgent 間諜程式的變種，不過，只有其中一個會假冒正牌的 MadCap (瘋狂花栗鼠) 遊戲。再者，假冒的 MadCap 遊戲據稱只能在越獄的裝置上運作。

這些 XAgent 應用程式會蒐集裝置上的簡訊、通訊錄、照片、定位資料、已安裝的應用程式清單、執行程序清單以及 Wi-Fi 的狀態。最重要的是，XAgent 應用程式可在使用者不知情的狀況下暗中錄音。也正因如此，任何感染這類程式的 iOS 裝置都將變成一個完美的竊聽工具，而且大多數人在開會或與人交談的時候都會隨身攜帶著手機，因此是一種非常好的竊聽方法。繼續閱讀

近七成行動裝置威脅屬於越權廣告程式

2015 年 01 月 27 日2015 年 01 月 27 日趨勢科技 TrendMicro

2014 下半年重大行動裝置威脅

隨著使用者對行動裝置的接受度越來越高，行動裝置威脅也隨之而來。 2014 年底網路犯罪集團利用各種方式，例如攻擊熱門平台、發掘裝置漏洞、開發更精良的假冒 App 程式等等，來竊取行動裝置上的個人資料，並直接拿到地下市場販賣。

行動裝置威脅正以飛快的速度朝精密化發展，惡意程式作者正是利用一般大眾不知如何正確設定行動裝置以及不知該從正常安全管道下載 App 程式的弱點。不僅如此，大多數的使用者對平台的安全建議也視若無睹，這就是為何許多人會為了獲得進階功能或是貪圖免費程式而破解行動裝置保護 (如越獄或 root)。

2014 上半年，我們見到非重複性行動裝置惡意及高風險 App 程式樣本數量正式突破二百萬大關，而且數量還在不斷增加，這距離上次突破一百萬大關僅僅六個月的時間。此外，我們也見到行動裝置惡意程式正逐漸演出成更精密的變種，例如數位貨幣採礦惡意程式 ANDROIDOS_KAGECOIN 和行動裝置勒索程式 ANDROIDOS_LOCKER.A。

[延伸閱讀：2014 上半年行動裝置資安情勢總評 (The Mobile Landscape Roundup: 1H 2014)]

這份報告詳述 2014 下半年的情勢發展，包括重大的行動裝置威脅及趨勢。

惡意及高風險的 App 程式數量現已達到 437 萬

行動裝置惡意程式數量在 2014 下半年又翻了一倍以上，距離上次突破二萬大關僅僅六個月的時間。現在，網路上惡意及高風險的 App 程式總數已達到 437 萬。這意味著，從該年上半年結束至今已成長了大約 68%，也就是 260萬。

2014 年惡意及高風險的 App 程式成長趨勢

若從這幾百萬當中挑出那些明顯惡意的 App 程式，我們發現它們絕大多數都是行動裝置惡意程式家族排行榜的成員：

2014 年行動裝置惡意程式家族排行榜

若就它們對行動裝置的影響來分類，我們發現大約 69% 的行動裝置威脅都屬於越權廣告程式。越權廣告程式是指那些拼命顯示廣告而讓使用者無法專心好好使用裝置的程式。其次是高費率服務盜用程式 (PSA)，占惡意及高風險 App 程式的 24% 左右。PSA 會在背後偷用一些高費率服務，讓使用者的手機帳單無故飆高。

2014 年主要行動裝置威脅類型分布比例

另外，以下為 2014 下半年越權廣告程式家族排行榜：繼續閱讀

iOS再曝高危險漏洞,會置換你合法下載的應用程式

2014 年 11 月 27 日2014 年 11 月 27 日趨勢科技 TrendMicro

假面攻擊的另一面：iOS應用程式沒有加密資料

根據趨勢科技在10月所公布的iOS威脅「假面攻擊（Masque Attack）」所做的研究，趨勢科技研究人員發現惡意應用程式有新的方法在成功的假面攻擊後威脅到iOS設備：經由存取合法應用程式所使用的未加密資料。

根據報導，這種 iOS 威脅利用企業配置文件來攻擊未經越獄的 iOS 設備，就像是WireLurker。因為配置文件允許企業在 iOS 設備上安裝自製應用程式而無需經過 Apple 審查。它們可以透過 iTunes（通過USB介面）或無線傳輸來經由應用程式商店散播這些應用程式。

雖然 WireLurker 威脅已被發現會透過 USB介面安裝假或惡意的應用程式，假面攻擊還會造成更嚴重的後果。只要使用相同的簽章金鑰或Bundle ID，假面攻擊就可以將原本安裝的應用程式置換成惡意版本。而接下來，新置換（和惡意）的應用程式可以執行像竊取敏感資料的動作。

假面攻擊揭示應用程式漏洞

企業配置文件可以如何被惡意應用程式濫用已經被大肆的報導。但當惡意應用程式想辦法進入 iOS 設備後，會發生什麼事？

趨勢科技測試了幾個應用程式，發現一些受歡迎的iOS應用程式不會對它們的資料庫進行加密。在我們的分析中，我們只用檔案瀏覽器就可以存取這些檔案。此外，我們測試的是簡訊和通訊應用程式，這意味著它們會儲存大量敏感資料，像是姓名和連絡資訊。

圖1、即時通（IM）應用程式內未加密的資料庫 繼續閱讀

山寨版「Akinator the Genie」遊戲,現身Apple App Store

2014 年 10 月 16 日2014 年 10 月 15 日趨勢科技 TrendMicro

山寨版應用程式 – 新的 iOS 疑慮？

在威脅環境中，有時很難區分一件事物是否應該被視為威脅。當然，也有很明顯的威脅（就是：惡意軟體），但也有一些值得討論。其中一個例子就是「山寨版」應用程式或「惡搞版」應用程式。

顧名思義，「山寨版」或「惡搞版」應用程式有著類似其他應用程式的功能，甚至名稱。科技網站 Ars Technica寫過一篇文章，強調了山寨版應用程式多快就能夠進入應用程式商店。上述文章所提到的是個照片剪輯應用程式，在2013年五月中上到 Apple App Store；在同年八月，有七個山寨版本出現在 App Store。

正版: 「Akinator the Genie」, 山寨版:「Akinator Genie」評價大不同

趨勢科技在 Apple App Store上發現另一個熱門應用程式 – Akinator the Genie 的惡搞版本。山寨版本稱為「Akinator Genie」，開發人員名稱是 Jennifer Mendeison，這人已經因為山寨應用程式而知名。使用者可以在 App Store下載這個山寨版應用程式。

圖1、官方的「Akinator the Genie」應用程式（上圖）和山寨版本（下圖）

這些應用程式的內容是相同的：一個名叫「Akinator」的精靈會透過問幾個問題來猜測使用者在想什麼。原始版本會猜測真實或虛構的人物。而山寨版應用程式則是猜測形狀。繼續閱讀

iPhone 刪除的照片,竟還留在 iCloud ? 再談女星雲端裸照外流事件

2014 年 09 月 24 日2016 年 05 月 19 日趨勢科技 TrendMicro

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除，如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了，那麼推薦你看這一篇文章。

作者：Vic Hargrave (趨勢科技資料分析軟體架構師)

當我聽到有明星因 iCloud 帳號被駭客入侵而使得自己的裸照被上傳到匿名分享網站 AnonIB 時，我其實一點也不覺得意外。不過，雖然將這麼私密的資料儲存在雲端原本就是一項冒險行為，但對於這些明星的尷尬處境我也深表同情。畢竟，照片是因遭人竊取才會外流，並非個人意願。就我來看，行動運算與雲端儲存的便利性在這件事上也要負擔部分責任。你很容易就可能建立一個密碼強度不足的雲端儲存帳號。視你的行動 App 程式而異，有時照片、音樂、文件或任何其他資料會在背後自動上傳至雲端，而你並不會留意。

一旦你的檔案上傳到雲端，你手機上的相簿就不一定會和你雲端上的相簿同步。我覺得許多使用者並不了解他們的資料到了雲端會怎樣，甚至是資料怎麼上傳到雲端的。

單純只是另一個雲端破解案例

就目前看來，應該是有一名叫作「OriginalGuy」的駭客入侵了明星的 iCloud 帳號並竊取照片。駭客攻擊的第一步是利用蘋果「我的 Apple ID – 建立一個 Apple ID」這個用來建立新帳號的網頁，在網頁上輸入一些可能的電子郵件來猜測受害者 iCloud 帳號的電子郵件地址。

如果某個電子郵件地址已有人使用，該頁面就會請使用者輸入其他可用的電子郵件地址。如此一來，駭客就知道某個電子郵件地址是否有人使用。接著，他就試圖用這個電子郵件地址來登入，不論是用猜測的密碼或是使用密碼破解程式。假使帳號的密碼強度不足，歹徒就不難猜到。這項技巧不光只適用於 iCloud 服務，也適用於 Box.com、DropBox 以及其他任何在建立帳號時能讓駭客知道某個電子郵件是否有人使用的服務。

行動資料分享或許太過容易

我所見過的大多數行動雲端儲存 App 程式都能讓你將智慧型手機中的照片自動上傳到雲端儲存。若你有多個這類帳號，你就很容易不知道哪些相片在何時被上傳到哪個雲端儲存。

最近我發現，當我用 iPhone 拍照時，照片會透過 WiFi 連線或是在我手機接上筆電的 USB 連接埠時自動上傳到我的 DropBox 帳號。我不記得自己曾經在 DropBox App 上做過這樣的設定，這樣的現象似乎是某一天自己突然開始。有可能是我某一次更新 DropBox 之後才開始，也可能是我不小心開啟了這項功能。不過每當它發生時，不論是我的動作結果或是軟體的運作結果我都不曉得。

這才是重點：身為一個每天都要接觸電腦科技、行動裝置等等的軟體工程師，我自認是個相當熟悉科技的人。但我竟不曉得自己的智慧型手機是如何開啟這項照片自動上傳至 DropBox 的功能。

我必須自己到手機應用程式設定當中手動關閉這項「功能」，就連我們這種熟悉技術的人都還如此，也難怪那些生活忙碌的電影明星會不知到自己的照片被上傳到雲端。繼續閱讀