Annonse

iOS anses for å være et av de sikrere mobile operativsystemene. Den er designet fra grunnen av for å være sikker, og har følgelig unngått mange av sikkerhetstruslene som har plaget Android.

De få trusler som finnes for plattformen Smarttelefonsikkerhet: Kan iPhones få skadelig programvare?Malware som påvirker "tusenvis av" iPhones, kan stjele App Store-legitimasjon, men flertallet av iOS-brukere er helt trygge - så hva er det med iOS og useriøs programvare? Les mer har en tendens til å være sentrert rundt jailbroken enheter 4 Tvingende sikkerhetsgrunner for ikke å jailbreak iPhone eller iPadJailbreaking kan kvitte seg med Apples mange begrensninger, men før du jailbreak enheten din er det en god idé å veie opp fordelene og potensielle ulempene. Les mer eller de som på annen måte har blitt kompromittert, eller utnytter stjålne bedriftssertifikater.

Men AceDeceiver er annerledes. Det ble oppdaget av Palo Alto Networks tidligere denne uken, og er i stand til å infisere fabrikkonfigurerte iPhoner uten at brukeren skjønner det, ved å utnytte grunnleggende feil i Apples FairPlay DRM-system.

Fra piratkopiering til skadelig programvare

Måten AceDeceiver distribuerer er basert på noe som heter “FairPlay Man-In-the-Middle”, som er en vanlig taktikk som har blitt brukt siden 2013 for å installere piratkopierte applikasjoner på ikke-jailbroken iPhones og iPads.

Når en person kjøper en iPhone-applikasjon fra en datamaskin, kan applikasjonen sendes umiddelbart til den telefonen. Men mellom kjøpet og appen som blir levert, skjer det en hel haug med kommunikasjon mellom enhetene og Apples servere.

Spesielt vil Apple sende en autorisasjonskode til iOS-enheten, som i hovedsak bekrefter overfor klientenheten at applikasjonen er kjøpt legitimt. Hvis noen fanger opp en av disse autorisasjonskodene og kan etterligne hvordan Apples servere samhandler med iOS-enheter, vil de kunne sende applikasjoner til den enheten.

AceDeceiverWorkflow

Disse applikasjonene kan være applikasjoner som har ikke fått tillatelse fra Apple til å vises i App Store 8 Latterlige og inkonsekvente retningslinjer for Apple App Store [Opinion]Her er en radikal mening - du bør kunne kjøre apper du liker på enhetene du eier. Apple er ikke enig, og det er omgjort seg til kringler som skaper vilkårlige regler for hvilken app ... Les mer , eller kan være piratkopierte applikasjoner.

I dette tilfellet er applikasjonene som distribueres av denne romanen snurret på "Fairplay Man-In-The-Middle" malware-applikasjoner.

Møt Aisi Helper

For dette angrepet, FairPlay Mannen i midten Hva er et menneske i midten-angrep? Sikkerhetssjargong forklartHvis du har hørt om "mann-i-midten" -angrep, men ikke er helt sikker på hva det betyr, er dette artikkelen for deg. Les mer angrepet er utført av Aisi Helper, som er en Windows-programvare som antas å ha blitt utviklet i Shenzhen, Kina.

Pålydende hevder det å være en legitim tredjepart iDevice administrasjonsprodukt. Den har mye av fangsten av legitime programmer. Den lar brukere jailbreak og sikkerhetskopiere enheter i det lokale nettverket, og å installere iOS på nytt hvis de trenger det. Det er i hovedsak iTunes, om enn uten musikkspiller, og som er rettet mot det kinesiske markedet.

aisihelper

I følge ITJuzi, som profilerer oppstarter i det kinesiske markedet, ble den først utgitt i 2014. Den gangen inneholdt den ikke ondsinnet oppførsel. Siden den gang har den blitt omfattende modifisert for å bruke den nevnte strategien, for å distribuere skadelig programvare til alle tilkoblede enheter.

Når Aisi Helper oppdager en tilkoblet enhet, vil den automatisk, og uten samtykke fra brukeren, begynne å installere AppDeciever Trojan. Det eneste antydningen at dette skjer, er at en mystisk og uønsket applikasjon vil ha dukket opp i brukerens liste over apper.

AceDeceiver-skadelig programvare

I skrivende stund har det vært tre av disse trojanerne. Hver av dem har, så langt, opprinnelig maskeret som bakgrunnsapper. Hver av disse er blitt gjort tilgjengelige i App Store etter å ha passert Apples notorisk strenge kildekodekontroller, hvor den blir gjennomgått ved innsending og ved hver etterfølgende oppdatering. I teorien skal dette ha forhindret dem i å vises i App Store.

AceDeceiverWallpaper

Palo Alto Networks mener utviklerne var i stand til å skjørt disse sjekkene ved å sende dem utenfor Kina, og til å begynne med gjøre dem tilgjengelige for bare en håndfull markeder, som Storbritannia og New Zealand.

Denne spesifikke varianten av malware AceDeciever forblir sovende med mindre enheten har en IP-adresse i Folkerepublikken Kina. Det er klart på grunn av dette, og leveringsmediet, at det er rettet mot kinesiske brukere. Selv om det også kan påvirke alle som bruker en kinesisk VPN, eller noen som reiser i Kina.

Når skadelig programvare oppdager at enheten er i Kina, vil den forvandle seg fra å være en applikasjon til laste ned og endre wallpwapers, til en som maskerer seg som flere Apple-tjenester, som App Store, og Spillsenter.

AceDeceiver

Målet med dette er forutsigbart å høste Apple-legitimasjon. Dette vil da gjøre det mulig for angriperen å kjøpe applikasjoner og e-bøker de har plassert i App Store, og på sin side tjene et godt overskudd. AppDeciever kan imidlertid ikke bare "få tilgang til" denne legitimasjonen, ettersom de er lagret sikkert i en kryptert container.

Så bruker den sosialteknisk taktikk Hva er samfunnsingeniør? [MakeUseOf Explains]Du kan installere bransjens sterkeste og dyreste brannmur. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Du kan til og med låse serverrommet - men hvordan ... Les mer i stedet. AceDeceiver vil vise popup-vinduer som ser ut som de har kommet fra Apple, og ber brukeren bekrefte legitimasjonen. Når brukeren overholder, sendes disse over nettverket til en ekstern server.

Disse applikasjonene har siden blitt fjernet fra butikken. Til tross for det, kan de fremdeles installeres av en angriper ved å utnytte FairPlay Man-In-The-Middle-angrepet.

Bør du være bekymret?

Så la oss kutte til jakten. Har du grunn til å være bekymret for dette? Vel, ja og nei.

Akkurat nå er den viktigste manifestasjonen av dette sentrert rundt Kina. Den er målrettet mot kinesiske iPhones, den er sovende utenfor Kina, og den bruker sosialteknisk taktikk som er omhyggelig laget for å lykkes mot kinesiske brukere.

Men til tross for det er det grunn til bekymring. Tross alt er det basert på en taktikk som er brukt siden 2013 for å installere piratkopiert programvare. Tre år senere er dette hullet ennå ikke stengt, og det er det fremdeles til slutt utnyttbar.

Det faktum at den ble publisert i App Store tre ganger, vekker også alvorlige spørsmål om Apples evne til å holde den skadelig uten malware.

App Store

Som det påpekes av Palo Alto Labs, vil det dessuten være trivielt å omarbeide denne skadelige programvaren for å målrette brukere i USA eller Europa.

Akkurat nå er det ikke mye som kan gjøres for å bekjempe det. Palo Alto Networks anbefaler alle som har installert Aisi Helper, om å avinstallere den umiddelbart. De sier også at ofre bør aktivere tofaktorautentisering, samt endre passord.

De har også gitt ut to IPS-signaturer (Intrusion Prevention System) for bedrifter som bruker brannmurapparatene sine, for å blokkere angrepet. Dessverre er disse ikke tilgjengelige for forbrukere.

Over til deg

Ble du påvirket av AceDeceiver Malware? Kjenner du noen som var? Fortell meg om det i kommentarene nedenfor.

Matthew Hughes er programvareutvikler og skribent fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.