您的位置:首页 >产经 >

YiSpecter恶意软件使用的技术可以绕过苹果应用商店的安全检查

2019-12-26 16:24:04   编辑:   来源:
导读 研究人员说,新发现的被称为YiSpecter的恶意软件可以感染未越狱的iPhone和iPad设备,使用一些新的技术。 YiSpecter恶意软件是不寻常的在许多方面,根据安全公司帕洛阿尔托网络,主要是因为它是第一个在野外恶意软件,利用iOS系统的私有api——苹果iOS的api仍然没有形成,可能是因为他们不准备更广泛地使用。 这种特殊行为的缺点在于,研究人员此前发现了一些滥用应用程序商店中私有ap

研究人员说,新发现的被称为YiSpecter的恶意软件可以感染未越狱的iPhone和iPad设备,使用一些新的技术。

YiSpecter恶意软件是不寻常的在许多方面,根据安全公司帕洛阿尔托网络,主要是因为它是第一个在野外恶意软件,利用iOS系统的私有api——苹果iOS的api仍然没有形成,可能是因为他们不准备更广泛地使用。

这种特殊行为的缺点在于,研究人员此前发现了一些滥用应用程序商店中私有api的应用程序,这意味着攻击者可以利用这些应用程序来攻击只从应用程序商店安装应用程序的iPhone和iPad用户。

据帕洛阿尔托网络公司(Palo Alto Networks)称,苹果的应用程序商店(App Store)中有100个应用程序滥用了私有api,并绕过了苹果出了名的严格的代码审查。

帕洛阿尔托的研究人员克劳德·肖(Claud Xiao)写道:“这意味着,滥用私人api的攻击技术也可以单独使用,可以影响所有只从应用商店下载应用的普通iOS用户。”

幸运的是,在这次事件中,攻击者并没有使用苹果的应用商店来分发恶意软件,而是依靠企业证书作为安装恶意软件的辅助渠道。

在YiSpecter被发现之前,有超过4000个带有XcodeGhost恶意软件的应用程序被泄露到苹果应用商店。在这起事件中,腾讯的微信应用程序等中国合法第三方应用程序的开发者,在使用了受污染的苹果开发者工具集Xcode后,将应用程序上传到app Store。

Flash零日漏洞攻击传播广告恶意软件,僵尸网络

针对Flash Player的新攻击可能会迫使Adobe在修复了9个漏洞几天后发布另一个补丁。

阅读更多

受害者报告显示,YiSpecter一旦安装在iOS设备上,无论是越狱还是非越狱,都会获得广泛的权力。

这些功能包括下载、安装和启动其他iOS应用程序,将现有应用程序替换为下载的应用程序,劫持其他应用程序来显示广告,以及改变Safari的默认搜索引擎。

它还可以篡改Safari书签和打开的页面,并将设备信息上传到攻击者的服务器。

虽然XcodeGhost和YiSpecter都影响非越狱的iOS设备,而且在技术上确实有一些相似之处,但帕洛阿尔托网络公司(Palo Alto Networks)的研究人员认为,这些攻击没有关联。

肖指出:“我们认为YiSpecter和XcodeGhost是由不同的攻击者开发的,到目前为止,没有证据表明这两位开发人员之间有合作。”

正如帕洛阿尔托所强调的,YiSpecter还与WireLurker恶意软件有相同的特点。WireLurker是去年发现的,它还滥用企业证书感染非越狱的iOS设备。

然而,YiSpecter使用了私有api来实现iOS中的敏感功能,比如隐藏图标,这在以前是学术讨论的领域。

YiSpecter是现实世界中第一个结合这两种攻击技术并对更大范围用户造成伤害的iOS恶意软件。它将iOS安全的底线又向后推了一步。”

然而,Rapid7的全球安全策略师特雷•福特(Trey Ford)表示,YiSpecter的恶意软件没有显示出苹果的“围墙花园”策略已经被打破。

Trey说:“攻击者知道专注于边缘情况,特别是像使用企业证书的“内部分发”工作流这样的例外情况,提供了最可能的部署路径。”

福特补充说:“你将听到的允许攻击者使用隐藏图标和替换应用程序等手段的私有API将不会通过应用商店提供,而这通常是促使攻击者寻找其他分销渠道的动力。”

根据帕洛阿尔托的说法,YiSpecter至少从2014年11月开始在野外传播,通常带有一个用户界面和功能,可以在线观看免费的色情视频。

据帕罗奥图网络公司(Palo Alto Networks)称,YiSpecter的两个主要应用是HYQvod和DaPian,它们将安装YiSpecter的主要恶意组件Nolcon,该组件支持更改Safari配置和插入广告等功能。

今年早些时候,中国软件公司奇虎360 (Qihoo 360)和猎豹移动(Cheetah Mobile)的研究人员深入研究了一款iOS恶意软件,他们将其命名为“灵盾蠕虫”。然而,帕洛阿尔托表示,他们错过了或未能披露更多恶意功能,目前该公司已确认这些功能是YiSpecter的一部分。

YiSpecter还介绍了一些攻击越狱手机和非监狱手机iOS设备的新方法,包括帕洛阿尔托网络公司(Palo Alto Networks)的一项建议,即中国互联网服务提供商参与了恶意软件的传播,他们劫持用户的互联网流量,并在用户访问知名新闻网站时插入弹出对话框。

“一些未越狱的iPhone用户试图清除cookies、重置iOS、更改iCloud账户以及阻止Safari浏览器中的弹出窗口,但这些操作并没有解决问题。”然而,如果他们使用具有内置代理功能的第三方移动浏览器访问同一个网页,广告就会消失。一位用户甚至拨打了他的ISP服务电话投诉,问题得到了解决——这些广告再也没有出现过,”肖解释道。

“根据这些信息,我们认为,在这些案件中,ISP的流量劫持是用来传播恶意软件的,而不是恶意的第三方。”

“灵盾蠕虫”也被用来传播YiSpecter,而一些YiSpecter应用程序被发布在地下应用程序分发网站上,可能是针对越狱设备,以及社交媒体和其他社区论坛。


标签:
免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢