YiSpecter惡意軟件使用的技術可以繞過蘋果應用商店的安全檢查

研究人員說，新發(fā)現的被稱為YiSpecter的惡意軟件可以感染未越獄的iPhone和iPad設備，使用一些新的技術。

YiSpecter惡意軟件是不尋常的在許多方面,根據安全公司帕洛阿爾托網絡,主要是因為它是第一個在野外惡意軟件,利用iOS系統(tǒng)的私有api——蘋果iOS的api仍然沒有形成,可能是因為他們不準備更廣泛地使用。

這種特殊行為的缺點在于，研究人員此前發(fā)現了一些濫用應用程序商店中私有api的應用程序，這意味著攻擊者可以利用這些應用程序來攻擊只從應用程序商店安裝應用程序的iPhone和iPad用戶。

據帕洛阿爾托網絡公司(Palo Alto Networks)稱，蘋果的應用程序商店(App Store)中有100個應用程序濫用了私有api，并繞過了蘋果出了名的嚴格的代碼審查。

帕洛阿爾托的研究人員克勞德·肖(Claud Xiao)寫道:“這意味著，濫用私人api的攻擊技術也可以單獨使用，可以影響所有只從應用商店下載應用的普通iOS用戶?！?/p>

幸運的是，在這次事件中，攻擊者并沒有使用蘋果的應用商店來分發(fā)惡意軟件，而是依靠企業(yè)證書作為安裝惡意軟件的輔助渠道。

在YiSpecter被發(fā)現之前，有超過4000個帶有XcodeGhost惡意軟件的應用程序被泄露到蘋果應用商店。在這起事件中，騰訊的微信應用程序等中國合法第三方應用程序的開發(fā)者，在使用了受污染的蘋果開發(fā)者工具集Xcode后，將應用程序上傳到app Store。

Flash零日漏洞攻擊傳播廣告惡意軟件，僵尸網絡

針對Flash Player的新攻擊可能會迫使Adobe在修復了9個漏洞幾天后發(fā)布另一個補丁。

閱讀更多

受害者報告顯示，YiSpecter一旦安裝在iOS設備上，無論是越獄還是非越獄，都會獲得廣泛的權力。

這些功能包括下載、安裝和啟動其他iOS應用程序，將現有應用程序替換為下載的應用程序，劫持其他應用程序來顯示廣告，以及改變Safari的默認搜索引擎。

它還可以篡改Safari書簽和打開的頁面，并將設備信息上傳到攻擊者的服務器。

雖然XcodeGhost和YiSpecter都影響非越獄的iOS設備，而且在技術上確實有一些相似之處，但帕洛阿爾托網絡公司(Palo Alto Networks)的研究人員認為，這些攻擊沒有關聯(lián)。

肖指出:“我們認為YiSpecter和XcodeGhost是由不同的攻擊者開發(fā)的，到目前為止，沒有證據表明這兩位開發(fā)人員之間有合作?！?/p>

正如帕洛阿爾托所強調的，YiSpecter還與WireLurker惡意軟件有相同的特點。WireLurker是去年發(fā)現的，它還濫用企業(yè)證書感染非越獄的iOS設備。

然而，YiSpecter使用了私有api來實現iOS中的敏感功能，比如隱藏圖標，這在以前是學術討論的領域。

YiSpecter是現實世界中第一個結合這兩種攻擊技術并對更大范圍用戶造成傷害的iOS惡意軟件。它將iOS安全的底線又向后推了一步?！?/p>

然而，Rapid7的全球安全策略師特雷?福特(Trey Ford)表示，YiSpecter的惡意軟件沒有顯示出蘋果的“圍墻花園”策略已經被打破。

Trey說:“攻擊者知道專注于邊緣情況，特別是像使用企業(yè)證書的“內部分發(fā)”工作流這樣的例外情況，提供了最可能的部署路徑?！?/p>

福特補充說:“你將聽到的允許攻擊者使用隱藏圖標和替換應用程序等手段的私有API將不會通過應用商店提供，而這通常是促使攻擊者尋找其他分銷渠道的動力。”

根據帕洛阿爾托的說法，YiSpecter至少從2014年11月開始在野外傳播，通常帶有一個用戶界面和功能，可以在線觀看免費的色情視頻。

據帕羅奧圖網絡公司(Palo Alto Networks)稱，YiSpecter的兩個主要應用是HYQvod和DaPian，它們將安裝YiSpecter的主要惡意組件Nolcon，該組件支持更改Safari配置和插入廣告等功能。

今年早些時候，中國軟件公司奇虎360 (Qihoo 360)和獵豹移動(Cheetah Mobile)的研究人員深入研究了一款iOS惡意軟件，他們將其命名為“靈盾蠕蟲”。然而，帕洛阿爾托表示，他們錯過了或未能披露更多惡意功能，目前該公司已確認這些功能是YiSpecter的一部分。

YiSpecter還介紹了一些攻擊越獄手機和非監(jiān)獄手機iOS設備的新方法，包括帕洛阿爾托網絡公司(Palo Alto Networks)的一項建議，即中國互聯(lián)網服務提供商參與了惡意軟件的傳播，他們劫持用戶的互聯(lián)網流量，并在用戶訪問知名新聞網站時插入彈出對話框。

“一些未越獄的iPhone用戶試圖清除cookies、重置iOS、更改iCloud賬戶以及阻止Safari瀏覽器中的彈出窗口，但這些操作并沒有解決問題?！比欢绻麄兪褂镁哂袃戎么砉δ艿牡谌揭苿訛g覽器訪問同一個網頁，廣告就會消失。一位用戶甚至撥打了他的ISP服務電話投訴，問題得到了解決——這些廣告再也沒有出現過，”肖解釋道。

“根據這些信息，我們認為，在這些案件中，ISP的流量劫持是用來傳播惡意軟件的，而不是惡意的第三方?！?/p>

“靈盾蠕蟲”也被用來傳播YiSpecter，而一些YiSpecter應用程序被發(fā)布在地下應用程序分發(fā)網站上，可能是針對越獄設備，以及社交媒體和其他社區(qū)論壇。