网站大量收购闲置独家精品文档,联系QQ:2885784924

假面攻击:你所有的iOS应用都在我们的手掌心.doc

假面攻击:你所有的iOS应用都在我们的手掌心.doc

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
假面攻击:你所有的iOS应用都在我们的手掌心

2014年11月10日,火眼(Fireeye)移动安全研究人员发现那种使用enterprise/ad-hoc授权文件(provisioning)安装的iOS应用会替换掉从App Store下载的正版iOS应用,前提是两个app使用的是相同的bundle identifier。 这个恶意软件使用随机名称(比如“新生气小鸟”),诱使用户安装下载,但安装后就会发现,它并没有安装“生气小鸟”,而是将从App Store下载的合法应用替换掉了。所有从App Store上下载的应用都能被替换掉,除了iPhone本身自带的应用(如Mobile Safari)。 这个漏洞出现的原因是iOS并没有严格要求使用相同bundle identifier的应用的证书要匹配。目前我们发现漏洞存在的版本有iOS7.1.1、7.1.2、8.0、8.1以及8.1.1beta,iPhone越狱和非越狱机都受影响。攻击者利用该漏洞的方式可通过无线网络或USB。我们将这一漏洞命名为“假面攻击”。 我们在7月26日就已向苹果公司报告了这一漏洞。最近克劳德.箫发现“WireLurker”恶意程序。在仔细研究了WireLurker后,我们发现它开始利用“Masque攻击方式”的有限形式通过USB来公司iOS设备。假面攻击带来的攻击破坏要强于WireLurker。Masque攻击能导致iPhone上从App Store上下载的合法应用被替换掉,比如银行或邮件应用。这意味着攻击者能够窃取用户的银行凭证信息,只要恶意软件和将要被替换的合法应用使用一致的UI界面。 我们惊奇得发现,恶意程序甚至能够接入原始应用的本地数据,而且当原始应用被替换掉时本地数据扔保留了下来。这些本地数据中可能包含缓存的邮件,或甚是登陆许可证(login-tokens),以后恶意程序可使用这些关键信息来直接登陆用户账户。 目前,我们发现这个漏洞问题已经开始传播。所以面对这样的形势,我们认为有必要让公众了解详细情况,因为潜在的危险可能影响到每一个人。与此同时,我们也向大家列出了一些解决办法,帮助iOS用户能更好的享受到应有的服务。 安全影响 通过Masque攻击,攻击者能够诱使受害者下载安装恶意应用,使用伪造的应用名(攻击者起的名字),而且该恶意应用会将合法的应用替换掉(使用相同的bundle identifier)。Masque攻击方式无法替换iPhone自带的应用,如Mobile Safari,但就是能替换从App Store下载的应用。经过我们的总结发现,假面攻击会带来以下严重的安全后果: 1. 攻击者会模仿原始应用的登陆界面以窃取用户的登陆凭证信息。我们通过对多个银行及邮件应用已经验证了这个事实。就是说这个恶意程序会使用与原始应用相同的UI界面欺骗用户,诱使他们输入自己的登陆凭证信息,然后攻击者将凭证信息传送到远程服务器上。 2. 我们还发现原始应用的目录下的数据,比如说本地数据缓存,即使在原始应用被替换掉时,这些本地数据仍保留在恶意应用的本地目录中。所以恶意程序窃取了这些敏感信息。我们通过邮件类应用证实了这个事实,具体发现就是恶意软件窃取了重要邮件的本地缓存,然后将这些信息上传到其远程服务器上。 3. MDM(移动设备管理)接口无法辨别恶意应用和原始合法应用,如果它们使用的是相同的bundle identifier。目前MDM API不会获取每个应用的凭证信息(certificate information)。这样的话,MDM也就很难发现此类攻击。 4. 我们曾在病毒公告白皮书2014(Apple without a shell – iOS under targeted attack)中提到过,那些使用enterprise provisioning描述文件(我们都将其称作“EnPublic应用”)的应用不受苹果审查。因此,攻击者就是利用这一漏洞,使用iOS私有API进行强大的攻击活动,比如像后台监控(CVE-2014-1276)和模仿iCloud的UI界面来窃取用户的Apple ID和密码的活动。 5. 攻击者通过Masque攻击还能绕过正常应用的沙盒,然后通过利用iOS已知漏洞获取root权限,比如之前盘古团队进行的攻击活动。 举例 我们在进行实验时,使用了一个内部应用,用的bundle identifier是“com.google.Gmail”,应用名字为“新生气小鸟”。我们通过enterprise凭证给这款应用签名。当我们从网站上安装这款应用时,它便替换了iPhone上原始的Gmail应用。 图1 图1展示了整个过程,图1中的a、b展示了合法的Gmail应用已安装在iPhone设备上,而且有22封未读邮件。图1中c展示受害者被引诱去安装下载(从网上)一个名为“新生气小鸟”的内部应用。需要注意

文档评论(0)

xcs88858 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8130065136000003

1亿VIP精品文档

相关文档