新發現的iOS惡意軟體可能會影響到「任何設備」,根據Palo Alto Networks的報告,它甚至會影響沒有越獄過的設備。這惡意軟體被稱為AceDeceiver 註1,會利用Apple數位版權管理(DRM)機制的漏洞,跟之前iOS惡意軟體利用企業證書來感染未修改過設備的方法不同。
註1:趨勢科技將Windows執行檔偵測為TROJ_ACEDECEIVER.A,並將iOS惡意軟體偵測為IOS_AceDeceiver.A。
[延伸閱讀:每支iPhone都不安全:Yispectre惡意軟體影響未經修改過的iOS設備]
那麼它會做什麼及它如何運作?這惡意軟體會利用Apple稱為Fairplay的DRM保護機制的一個設計缺陷。這作法稱為「FairPlay中間人攻擊」,讓攻擊者能夠安裝惡意應用程式到iOS設備上而無需經過Apple公司的安全措施。
示範情境:使用者會透過電腦上的iTune軟體從App Store進行購買和下載。在這裡,電腦被用來透過iTunes將應用程式安裝到連接的iOS設備上,但需要iOS設備自己收到應用程式授權碼來證明確實已經購買。
在FairPlay中間人攻擊中,授權碼被儲存並用來結合第三方的iTunes山寨版來騙過Apple設備相信自己已經合法購買了特定應用程式,可以自由地加以安裝而無需付費。
惡意的部分是這個iTunes山寨版作者讓自己的程式也可以利用Fairplay中間人攻擊在客戶不知情下將惡意應用程式安裝到手機上。這就是所發生的事情,山寨版iTunes程式(稱為Aisi Helper)將惡意應用程式(也就是AceDeceiver應用程式家族)強迫安裝到使用者手機上。
這些應用程式接著會連到作者所控制的第三方應用程式來下載iOS應用程式或遊戲,用個人資料如Apple ID和密碼作為交換(也就是資料竊取)。接著會繼續要求使用者提供更多資訊以換取更多功能和應用程式。
Apple已經被通知該威脅的存在,將AceDeceiver應用程式從商店移除,但漏洞還是存在,主要是針對中國的使用者:據報該應用程式只在偵測到使用者位於中國才會執行惡意行為。雖然這可以輕易地透過地區設定來加以避開,但其運作方式顯示連未經修改過的iOS設備都很容易受到影響,無論位在哪裡。
這起事件再次提醒了使用者,雖然Apple的圍牆花園作法在大多數情況下都有用,但並非萬無一失,使用者自己必須採取措施來抵禦這類威脅。一種有用的作法就是當涉及設備管理時,只使用官方服務/軟體,而不要使用任何第三方或粉絲所建立的服務。
@原文出處:New iOS Malware “AceDeceiver” Could Be A Threat Even to Non-Jailbroken iPhone Users