iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗

儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。

2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。

根據感染裝置的所在地點而調整其行為模式

2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能利用軟體漏洞來避開 iOS 的隱私權保護機制。

不僅如此,iOS 裝置的攻擊管道也顯得更多樣化。例如,在我們所分析的惡意程式當中,有多個會將其動態連結程式庫 (dylib) 的名稱改成 postfix.PND 讓系統以為這是一個無害的 Portable Network Graphics (PNG) 影像檔案。此外,可讓應用程式在啟動後動態載入程式碼的 JsPatch 工具也遭歹徒用來避開 Apple 的審查機制,讓歹徒經由更新的方式將惡意內容推播至應用程式。AceDeceiver (IOS_ACEDECEIVER.A) 最知名的是利用 Apple 的 DRM 數位版權保護機制設計上的漏洞來不斷散布,即使 App Store 已經將它下架並封鎖。此外,我們也看到一些可讓裝置當機的特製 .MP4 檔案 (IOS_CraftDOSMP4.A)。

記憶體損毀漏洞,可能讓駭客以系統核心的權限執行任意程式碼

除此之外,我們也發現了一些 Apple 裝置的漏洞:CVE-2016-1721CVE-2016-4653 都是記憶體損毀漏洞,可能讓駭客以系統核心的權限執行任意程式碼。至於 CVE-2016-4627CVE-2016-4628 則是 Apple 裝置  IOAcceleratorFamily 元件的漏洞。CVE-2016-4606 是 iOS 隱私權設定當中的一個資料繼承漏洞。CVE-2016-4659 是一個應用程式覆寫的錯誤,兩者都與重新包裝應用程式的 Bundle ID 有關。CVE-2016-7651 是應用程式解除安裝之後並未重設其授權設定所造成的錯誤。

其他重要的漏洞還有:可用來將 iOS 裝置越獄的 CVE-2016-4654 漏洞,以及 Pegasus/Trident 漏洞攻擊過程所用到的 CVE-2016-4655、CVE-2016-4656 和 CVE-2016-4657 漏洞,駭客可從遠端將裝置越獄並讓裝置感染間諜程式。

 

有關 2016 年最猖獗的 Android 行動惡意程式 (根據趨勢科技偵測數據) 以及趨勢科技 2016 年所揭露的完整 Android 和 iOS/macOS 漏洞清單,請參考這份文件的「附錄」一節。

 

原文出處:In Review: 2016’s Mobile Threat Landscape Brings Diversity, Scale, and Scope

 

 

PC-cillin雲端版可根據您的需求,彈性選擇安裝於電腦/筆電、手機或平板電腦上,同步支援Windows、Mac、Android、iOS作業系統,有效防毒安心上網!即刻免費下載

 



《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。