最近,有一个中国iOS应用程序发现了苹果官方商店的隐形功能,该功能允许用户在未越狱的设备上安装盗版软件。这项功能的创造者利用了一种相对较新的技术,允许拥有代码签名证书的iOS开发者对有限的应用程序进行开发和测试。
在此之前,iOS的恶意软件数量一直很低,这主要是因为苹果公司一直严格控制其生态系统。未进行越狱的设备,就算已经取消了它们的安全限制,也只能从官方的苹果商店里获取应用,这些应用都经过苹果公司的审查和批准。
还有一个专门为企业设置的独立途径,这使得企业可以为内部的iOS设备安装自己开发的应用程序,而这种应用程序不会出现在应用商店里。但是企业一定要通过苹果开发者企业计划获得特别代码签名证书。
比较:HP ArcSight VS Splunk
在过去,已经有人利用企业证书在未越狱iOS设备上安装恶意软件,这也是最近新发现的中文版应用所使用的技术之一,该应用被称为ZergHelper或是XY帮手。不过,最有趣的还不是这个。
Palo Alto网络安全公司的研究者发现,ZergHelper还滥用个人开发证书,这是苹果公司在9月份引进的Xcode 7.0版本代码签名证书。Xcode是一种工具,也可以说是集成的开发环境(IDE),主要用来开发iOS和Mac OS X应用程序。
从Xcode 7开始,开发人员可以在私人设备上运行自己构建的应用程序,而不必在应用商店发布它们。这就使得测试应用程序变得非常容易,不需要每年花费99美元注册订阅苹果开发者计划。
要想生成个人开发证书,软件开发商必须要用连接到电脑的手机来使用Xcode。Xcode具体是如何从苹果取得证书的过程没有公开说明,但ZergHelper制作者似乎已经搞清楚了。
“我们认为是有人详细地反向分析了Xcode的这段代码,以便于实现与Xcode完全反向的行为,这就成功地切入了苹果公司的服务器。”Palo Alto网络的研究员在自己的博客中说道。
去年这项功能发布的时候,就有人表示过关注,担心会有攻击者滥用它来散布恶意软件到未越狱设备。研究者还说,ZergHelper就是证据,说明这种滥用是完全可能的,还是以一种“广泛自动化的方式”。
事实上,最近有人在一个广受欢迎的中国安全论坛上售卖代码,这个代码可以用来自动注册苹果ID,然后生成苹果开发证书。研究者表示,这个帖子最近已经被删除了。
ZergHelper也向用户免费提供苹果ID,这些ID来自哪里,是否是应用程序从其他设备上偷来的,这都不得而知。从10月底开始,这个应用程序就一直存在在官方应用商店里,直到苹果接到Palo Alto网络的警报之后才在上周六删除了它。
到目前为止,公司研究人员还没有在ZergHelper种发现明确的恶意行为,它的主要目标是作为应用商店的替代产品,允许用户在没有进行越狱的iOS设备上安装破解游戏和其他盗版应用程序。
该应用的创作者似乎是在用简单的手段来哄骗苹果公司的审批者们。它是以“快乐日常英语”(中文版)的名义提交给应用商店的,伪装成了一个英语学习的辅助软件。
一旦在手机上安装了这个软件,如果该用户的IP(Internet协议)地址显示来自中国大陆以外,那么应用程序会表现得像是它宣传的那样。但是只要地址是来自中国,就会出现不同的界面,该界面会引导用户完成安装配置。这是类似于一个设备通过移动设备管理系统登陆的过程。
一旦完成配置,用户就可以从这个替代应用商店中安装应用程序了。这些应用有的是利用被盗的企业证书,其他的则是通过签订Xcode免费生成的个人开发证书。
“我们不知道苹果应用商店审批者的具体位置,”Palo Alto网络研究者说,“如果他们不在中国大陆,那种种办法就可以成功骗过他们。即使是在中国,作者也可以通过分析行为在审核期间关闭该网页,这样审批者就看不到应用的真实功能了。”
这个应用程序会使用了另一种日益流行的技术,这项技术可以允许开发人员不断地更改自己应用的代码,而不用提交新版本给应用商店审核。这需要集成一个被称作wax的方法框架,可以搭桥Lua使之改编成本机iOS目标C的方法。
虽然ZergHelper本身并不是恶意软件,但是它所使用的技术可能会在未来激发恶意攻击。被盗的企业证书在过去已经遭到滥用,但是ZergHelper通过自动生成免费的个人开发证书来进一步利用它们。
Palo Alto网络研究员说,“这让人十分担忧,因为这些证书的滥用很有可能是未来网络攻击的第一步。”
还没有评论,来说两句吧...