- 1、本文档共9页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
假面攻击:你所有的iOS应用都在我们的手掌心
2014年11月10日,火眼(Fireeye)移动安全研究人员发现那种使用enterprise/ad-hoc授权文件(provisioning)安装的iOS应用会替换掉从App Store下载的正版iOS应用,前提是两个app使用的是相同的bundle identifier。
这个恶意软件使用随机名称(比如“新生气小鸟”),诱使用户安装下载,但安装后就会发现,它并没有安装“生气小鸟”,而是将从App Store下载的合法应用替换掉了。所有从App Store上下载的应用都能被替换掉,除了iPhone本身自带的应用(如Mobile Safari)。
这个漏洞出现的原因是iOS并没有严格要求使用相同bundle identifier的应用的证书要匹配。目前我们发现漏洞存在的版本有iOS7.1.1、7.1.2、8.0、8.1以及8.1.1beta,iPhone越狱和非越狱机都受影响。攻击者利用该漏洞的方式可通过无线网络或USB。我们将这一漏洞命名为“假面攻击”。
我们在7月26日就已向苹果公司报告了这一漏洞。最近克劳德.箫发现“WireLurker”恶意程序。在仔细研究了WireLurker后,我们发现它开始利用“Masque攻击方式”的有限形式通过USB来公司iOS设备。假面攻击带来的攻击破坏要强于WireLurker。Masque攻击能导致iPhone上从App Store上下载的合法应用被替换掉,比如银行或邮件应用。这意味着攻击者能够窃取用户的银行凭证信息,只要恶意软件和将要被替换的合法应用使用一致的UI界面。
我们惊奇得发现,恶意程序甚至能够接入原始应用的本地数据,而且当原始应用被替换掉时本地数据扔保留了下来。这些本地数据中可能包含缓存的邮件,或甚是登陆许可证(login-tokens),以后恶意程序可使用这些关键信息来直接登陆用户账户。
目前,我们发现这个漏洞问题已经开始传播。所以面对这样的形势,我们认为有必要让公众了解详细情况,因为潜在的危险可能影响到每一个人。与此同时,我们也向大家列出了一些解决办法,帮助iOS用户能更好的享受到应有的服务。
安全影响
通过Masque攻击,攻击者能够诱使受害者下载安装恶意应用,使用伪造的应用名(攻击者起的名字),而且该恶意应用会将合法的应用替换掉(使用相同的bundle identifier)。Masque攻击方式无法替换iPhone自带的应用,如Mobile Safari,但就是能替换从App Store下载的应用。经过我们的总结发现,假面攻击会带来以下严重的安全后果:
1. 攻击者会模仿原始应用的登陆界面以窃取用户的登陆凭证信息。我们通过对多个银行及邮件应用已经验证了这个事实。就是说这个恶意程序会使用与原始应用相同的UI界面欺骗用户,诱使他们输入自己的登陆凭证信息,然后攻击者将凭证信息传送到远程服务器上。
2. 我们还发现原始应用的目录下的数据,比如说本地数据缓存,即使在原始应用被替换掉时,这些本地数据仍保留在恶意应用的本地目录中。所以恶意程序窃取了这些敏感信息。我们通过邮件类应用证实了这个事实,具体发现就是恶意软件窃取了重要邮件的本地缓存,然后将这些信息上传到其远程服务器上。
3. MDM(移动设备管理)接口无法辨别恶意应用和原始合法应用,如果它们使用的是相同的bundle identifier。目前MDM API不会获取每个应用的凭证信息(certificate information)。这样的话,MDM也就很难发现此类攻击。
4. 我们曾在病毒公告白皮书2014(Apple without a shell – iOS under targeted attack)中提到过,那些使用enterprise provisioning描述文件(我们都将其称作“EnPublic应用”)的应用不受苹果审查。因此,攻击者就是利用这一漏洞,使用iOS私有API进行强大的攻击活动,比如像后台监控(CVE-2014-1276)和模仿iCloud的UI界面来窃取用户的Apple ID和密码的活动。
5. 攻击者通过Masque攻击还能绕过正常应用的沙盒,然后通过利用iOS已知漏洞获取root权限,比如之前盘古团队进行的攻击活动。
举例
我们在进行实验时,使用了一个内部应用,用的bundle identifier是“com.google.Gmail”,应用名字为“新生气小鸟”。我们通过enterprise凭证给这款应用签名。当我们从网站上安装这款应用时,它便替换了iPhone上原始的Gmail应用。
图1
图1展示了整个过程,图1中的a、b展示了合法的Gmail应用已安装在iPhone设备上,而且有22封未读邮件。图1中c展示受害者被引诱去安装下载(从网上)一个名为“新生气小鸟”的内部应用。需要注意
您可能关注的文档
- 上海新教材牛津英语4B M1单元测验.doc
- 8年级下册unit 1.doc
- 2010年中考第一轮复习人教版(新目标)八上Units 4-6知识点总结.doc
- 八上Units1-2词汇.doc
- savedInstanceState吐血详解 - 副本.docx
- Android开发闹钟(详细开发步骤).doc
- 高一英语 unit 2词汇学案 2.doc
- 2017广东肇庆市高三毕业班第三次英语综合测试(肇庆三模).doc
- 新概念NCE-1 L21.doc
- 人教七年级上册Unit7知识点+试题.doc
- 2025届衡阳市第八中学高三一诊考试物理试卷含解析.doc
- 2025届湖南省娄底市双峰一中等五校重点中学高三第二次诊断性检测物理试卷含解析.doc
- 天水市第一中学2025届高三第二次联考物理试卷含解析.doc
- 2025届金华市重点中学高三考前热身物理试卷含解析.doc
- 2025届北京市石景山区第九中学高三第四次模拟考试物理试卷含解析.doc
- 江苏扬州市2025届高三第一次模拟考试物理试卷含解析.doc
- 2025届江苏省南通市高级中学高考物理五模试卷含解析.doc
- 广东省清远市华侨中学2025届高三第一次调研测试物理试卷含解析.doc
- 辽宁省凤城市2025届高三第五次模拟考试物理试卷含解析.doc
- 内蒙古巴彦淖尔市重点中学2025届高考仿真卷物理试卷含解析.doc
文档评论(0)