儘管 iOS 對應用程式的嚴格審查機制讓該平台相對不太會安裝到危險的程式,但卻也無法完全杜絕網路上的各種威脅。2016 年,趨勢科技已見到好幾個惡意程式利用蘋果的企業憑證機制或其他漏洞來避開蘋果的嚴格審查。
眼前的一個例子就是 iXintpwn/YJSNPI (趨勢科技命名為 TROJ_YJSNPI.A),這是一個惡意的組態設定檔,可造成 iOS 裝置變得毫無反應。這是日本一位初階駭客所留下的遺毒,此駭客已於今年六月初遭到逮捕。
儘管 iXintpwn/YJSNPI 目前似乎集中在日本,但就其目前在社群媒體上的氾濫情況來看,就算哪天擴散至其他地區也不令人意外。
iXintpwn/YJSNPI 最早於 2016 年 11 月下旬在 Twitter 上出現,接著也開始出現在 YouTube 和社群網站上。它會偽裝成一個名為「iXintpwn」的 iOS 越獄程式,與專門散布此惡意組態設定檔的網站同名。它會在受害裝置畫面上塞滿名為「YJSNPI」的圖示,也就是網路上流傳的「野獣先輩」的圖片。
不論作者當初是為了捉弄他人,或者是為了成名,其攻擊手法都相當值得關注,因為其他駭客也可將 iXintpwn/YJSNPI 所濫用的 iOS 功能 (也就是 iOS 未經簽署的組態設定檔) 變成一種攻擊武器。
YJSNPI 可經由使用者瀏覽含有惡意組態設定檔的網站而散布,尤其是當使用者所用的是 Safari 瀏覽器。此惡意網站含有 JavaScript 腳本,會在使用者瀏覽時傳回一個 Blob 物件 (也就是惡意組態設定檔)。當 iOS 裝置上最新版的 Safari 瀏覽器收到該物件時,就會去下載該設定檔。
圖 1:從程式碼可看出 YJSNPI 是一個 Blob 物件 (上),以及此物件如何經由 Safari 瀏覽器下載 (下)。
iOS 組態設定檔案遭到濫用
iOS 組態設定檔案,可讓應用程式開發人員簡化設定大量裝置組態的程序,包括:電子郵件、Exchange、網路、憑證等等的設定。例如,企業可利用組態設定檔來簡化內部開發應用程式與企業裝置的管理作業。除此之外,組態設定檔也可用於自訂裝置的某些設定,如:存取權限、Wi-Fi、Virtual Private Network (VPN)、Lightweight Directory Access Protocol (LDAP) 目錄服務、Calendaring Extensions to WebDAV (CalDAV)、網站影片、登入憑證以及金鑰等等。
很顯然地,歹徒可利用惡意組態設定檔來竄改設定,例如將裝置的流量重新導向。過去曾經發生過的案例有專門竊取資訊的 Wirelurker 以及暗藏廣告程式的 Haima 重新包裝程式。
以 iXintpwn/YJSNPI 為例,歹徒使用了一個未經簽署的組態設定檔,並且將它設定成「無法刪除」,因此更難將它移除 (如下圖所示)。為了長期潛伏,它會透過 JavaScript 隨機產生「PayloadIdentifier」字串的值。請注意,iOS 系統其實有對應的安全措施,也就是,當已簽署或未簽署的設定檔要安裝在系統上時,需使用者親自同意。兩者唯一的差別在於設定檔的顯示方式,例如,已簽署的設定檔會標示為「已經確認」。
圖 2:iXintpwn/YJSNPI 使用一個未經簽署的設定檔。
圖 3:惡意的組態設定檔被設定成不可移除 (左),其圖示填滿了整個手機螢幕 (右)。
圖 4:從程式碼中可看出 PayloadIdentifier 為隨機產生 (上、中) 因此可以產生各種不同的 iXintpwn 組態設定檔 (下)。
iOS主畫面被塞滿圖示
當裝置安裝了 iXintpwn/YJSNPI 的設定檔之後,主畫面上就會出現一個奇怪圖示。點一下該圖示,螢幕上就會被填滿 YJSNPI 的圖示,使得系統的 SpringBoard 程式因而當掉。SpringBoard 是 iOS 中負責管理主畫面並且控制應用程式顯示與啟動的程式。YJSNPI 的圖示可以點選,但點了只會以更高解析度顯示該圖示的影像。當螢幕上填滿該圖示時,裝置就會變得毫無反應。
圖 5:iXintpwn/YJSNPI 的圖示覆蓋在主畫面上 (左);iPad 主畫面填滿了 YJSNPI 的圖示 (右)。
防範措施與最佳實務原則
所幸,雖然 YJSNPI 將自己設定成無法移除,但其實還是有辦法移除。受害的使用者可利用 Apple 官方的 iOS 輔助程式「Apple Configurator 2」,透過一台 Mac 電腦來管理 Apple 裝置,到 Actions 功能下尋找並移除惡意的設定檔。
不過,這方法有一個缺點,那就是 YJSNPI 必須安裝完整,不然就無法消除這些惡意圖示 (也就是說,當 Apple Configurator 2 執行時會看不到惡意的設定檔)。除此之外,Apple Configurator 2 也沒有 Windows 版本。
請採取一些最佳實務原則來提升行動裝置安全,尤其是實施個人自備裝置 (BYOD) 政策的企業環境。定期更新及修補您的 iOS 作業系統與應用程式,並且僅從官方的 App Store 商店或其他可信賴的來源下載應用程式。此外,請特別小心越獄的風險,並且遇到未知或可疑的應用程式或組態設定檔向您要求開放權限時要特別小心。除此之外,我們也建議應用程式開發人員應妥善保護自己開發的程式,別讓應用程式成為散布惡意程式的工具。
趨勢科技解決方案
一般使用者和企業可採用一套多層式的行動安全防護來保護行動裝置,例如:行動安全防護全民版。趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。
原文出處:iXintpwn/YJSNPI Abuses iOS’s Config Profile, can Crash Devices 作者:Hara Hiroaki、Higashi Yuka、Ju Zhu 和 Moony Li