AceDeciever:会感染所有iPhone手机的恶意软件

对于iOS系统威胁,我们之前已谈论了不少,也给出了一些关于如何保护苹果设备安全的建议。但针对iOS系统的恶意软件依然层出不穷,最近的例子就是palo alto networks发现了一种恶意软件,可以说是迄今为止最危险的之一。

苹果iPhone用户通常将他们的手机视作苹果精心构筑的”安全堡垒”:尤其相比安卓设备来说,iPhone手机更让人感到安全和放心。事实也的确如此,iPhone手机要比安卓手机要安全得多,但这并不意味着100%安全。众所周知,世界上还没有这样一座”安全堡垒”是无法攻破的。

对于iOS系统威胁,我们之前已谈论了不少,也给出了一些关于如何保护苹果设备安全的建议。但针对iOS系统的恶意软件依然层出不穷,最近的例子就是palo alto networks发现了一种恶意软件,可以说是迄今为止最危险的之一。

之所以如此危险的原因在于它既不需要iOS设备越狱,也无需使用被盗的企业证明来安装恶意软件。这一新的恶意软件家族被称为”AceDeciever”,它能够感染几乎绝大多数的iOS设备。

一切本出于”善意”

究其源头,最初是某些人因不愿付费购买游戏或应用而想出来的主意。这是一种旨在盗版iOS应用的方法,被称为”FairPlay中间人攻击”。在这里,我并不愿过多地解释”中间人攻击”的概念—你可以从这篇专题博文中了解有关内容。而我们将更多关注于FairPlay的概念,以及AceDeciever的实际工作方式。

FairPlay是一种DRM(数字产权管理)安全保护系统,苹果用它来保护音频和视频以及iOS应用。可能你已有所了解,iPhone用户在计算机上iTunes客户端所购买的应用,能够在iPhone手机上同步。当然,需要”证据”来证明用户确实购买了应用。这一”证据”通过由iTunes生成的授权代码交付,适用于所有应用。这就是FairPlay的实际工作方式。

问题的关键在于,任何一个应用都只有唯一一个代码。你只要成功拦截到一次,就能用来给无数的iPhone手机和iPad平板免费安装这一应用。这基本上就是FairPlay中间人攻击的方式。

“乔装打扮”的应用

最终,这一方法逐步演变为了内容齐全的盗版应用商店。基于”爱思助手”的Windows程序,最初是被用来越狱iPhone手机、备份数据和重装iOS系统。随后这工具添加了新的功能—开始在连接装有爱思助手计算机的iPhone手机内植入同名应用。该应用能显示用户可免费下载的许多应用。

有趣的是,爱思助手本身就是通过相同的FairPlay中间人技术安装到iPhone手机内。因此,为了将爱思助手植入iPhone手机,该应用的作者需要首先上传至App Store,并获得合法的授权代码。但问题是,苹果并不愿意看到这样的盗版应用商店出现在App Store内。

为了躲避苹果审查,爱思助手伪装成安全无害的墙纸应用。为了确保隐藏自己的真实面目,不法分子还用到了双重欺诈手法。一方面,他们只在美国和英国的App Store发布这一应用,中国用户根本无法下载。另一方面,在用户iPhone手机上首次启动时,会检测手机所在地区,如果不是在中国地区的话就只会显示壁纸(并且永不会改变)。

因此,因此无论是美国App Store代码审查员还是随机用户要想看到真正盗版应用商店界面必须要人在中国,而这几乎不太可能。这也是为什么没有人注意到这一壁纸应用实际上却’另有洞天’。

苹果目前已将所有版本的爱思助手从App Sotre中清理干净。但事实证明此举并未真正消灭该恶意软件。要想实施FairPlay中间人攻击,其实并不需要App Store内真有这一应用。对于爱思助手的’壁纸/盗版应用商店’来说完全适用。

Fair Play不再安全

那么,除了法律和道德问题外,盗版应用商店到底还存在哪些问题?如果有人告诉你:”我偷到一个应用,可以免费给你。” —千万别相信。99.9%是假的。

这一应用程序就是如此。这些应用刚开始对用户没有任何危害。但一到某个特定时间点,即会要求用户输入Apple ID登录名和密码”以获得更多功能”。而这些登录凭证实际都被上传至了AceDeciever的命令服务器。

现在知道为何我们在《卡巴斯基每日新闻》中讨论AceDeciever恶意软件的原因了。到目前为止,还未对FairPlay的漏洞打上安全补丁。即使真的打上了,老版本的操作系统可能仍然容易受到同样的攻击。

我该采取哪些保护措施?

好消息是,这一特定攻击并未将中国大陆地区以外的用户作为攻击目标。坏消息是,不法分子可以轻松地再次利用这一漏洞,编写出针对其它国家的全新恶意软件,并造成更大危害。这意味着,无论你居住在中国或其它国家,我们都建议你采用如下方法:

1. 千万不要试图越狱自己的iPhone手机。因为这样做毫无安全性可言,如你所见,这样的软件所执行的程序根本一点都不安全。

2. 我们经常建议Google Play用户采用这一规则,但看起来似乎也适用于App Store:对正在安装的应用多留一份心。AceDeceiver的作者已证明可以利用些伪装伎俩来躲避苹果代码审查。但不幸的是,iOS系统并不允许安装反病毒软件,因此一旦发现恶意软件只能听天由命了。

3.但幸运的是,你还能保护其它设备的安全。只要能运行反病毒软件的设备,都确保安装一款出色的安全解决方案。在PC电脑上安装一款反病毒软件,可以检测出爱思助手是AceDeciever恶意软件。

提示