Annons

iOS anses allmänt vara ett av de säkrare mobila operativsystemen. Det har utformats från grunden för att vara säkert och har följaktligen undvikit många av de säkerhetshot som har plågat Android.

De få hot som finns för plattformen Smartphonesäkerhet: Kan iPhones skaffa skadlig programvara?Malware som påverkar "tusentals" iPhones kan stjäla App Store-referenser, men majoriteten av iOS-användare är helt säkra - så vad har det med iOS och skurkprogram? Läs mer tenderar att vara centrerad runt jailbroken enheter 4 Tvingande säkerhetsskäl för att inte Jailbreak din iPhone eller iPadJailbreaking kan bli av med Apples många begränsningar, men innan du jailbreak din enhet är det en bra idé att väga upp fördelar och eventuella nackdelar. Läs mer eller sådana som på annat sätt har äventyrats eller utnyttjar stulna företagscertifikat.

Men AceDeceiver är annorlunda. Det upptäcktes av Palo Alto Networks tidigare denna vecka och kan infektera fabrikskonfigurerade iPhoner utan att användaren inser det genom att utnyttja grundläggande brister i Apples FairPlay DRM-system.

Från piratkopiering till skadlig programvara

Hur AceDeceiver distribueras baseras på något som kallas “FairPlay Man-In-the-Middle”, vilket är en gemensam taktik som har använts sedan 2013 för att installera piratkopierade applikationer på un-jailbroken iPhones och iPads.

När en individ köper en iPhone-applikation från en dator kan applikationen skickas omedelbart till den telefonen. Men mellan köpet och applikationen som levereras sker det en hel massa kommunikation mellan enheterna och Apples servrar.

I synnerhet kommer Apple att skicka en auktoriseringskod till iOS-enheten, vilket i huvudsak bekräftar för klientenheten att applikationen har köpt legitimt. Om någon fångar en av dessa behörighetskoder och kan efterlikna hur Apples servrar interagerar med iOS-enheter kommer de att kunna skicka program till den enheten.

AceDeceiverWorkflow

Dessa applikationer kan vara applikationer som har inte tillåtits av Apple att visas i App Store 8 löjliga och inkonsekventa riktlinjer för Apple App Store [yttrande]Här är en radikal åsikt - du bör kunna köra alla appar du gillar på enheterna du äger. Apple håller inte med, och det vred sig till kringlor som skapar godtyckliga regler för vilken app ... Läs mer , eller kan vara piratkopierade applikationer.

I det här fallet är applikationerna som distribueras av denna nya snurr på "Fairplay Man-In-The-Middle" skadliga program.

Möt Aisi Helper

För den här attacken, FairPlay Mannen i mitten Vad är en man i mittenattack? Säkerhetsjargong förklarasOm du har hört talas om "man-in-the-middle" -attacker men inte är helt säker på vad det betyder, är det här artikeln för dig. Läs mer attack utförs av Aisi Helper, som är en Windows-programapplikation, som tros ha utvecklats i Shenzhen, Kina.

På nominellt värde anses det vara en legitim tredje part iDevice hanteringsprodukt. Det har mycket av fångster av legitima program. Det tillåter användare att jailbreak och säkerhetskopiera enheter i det lokala nätverket och installera iOS om de behöver. Det är i grund och botten iTunes, om än utan musikspelaren, och riktar sig riktigt mot den kinesiska marknaden.

aisihelper

Enligt ITJuzi, som profilerar nystartade företag på den kinesiska marknaden, släpptes den först 2014. Då innehöll den inte skadliga beteenden. Sedan dess har den modifierats omfattande för att använda ovannämnda strategi för att distribuera skadlig programvara till alla anslutna enheter.

När Aisi Helper upptäcker en ansluten enhet kommer den automatiskt och utan användarens samtycke att börja installera AppDeciever Trojan. Det enda antydan att detta händer är att en mystisk och oönskad applikation har dykt upp i användarens lista över appar.

AceDeceiver Malware

I skrivande stund har det funnits tre av dessa trojaner. Var och en av dem har hittills ursprungligen maskerats som tapeterappar. Var och en av dessa har gjorts tillgängliga i App Store efter att ha godkänt Apples notoriskt stränga källkodkontroller, där den granskas vid inlämning och vid varje senare uppdatering. I teorin borde detta ha hindrat dem från att dyka upp i App Store.

AceDeceiverWallpaper

Palo Alto Networks tror att utvecklarna har kunnat kjolas av dessa kontroller genom att skicka in dem utanför Kina, och till att börja med göra dem tillgängliga för bara en handfull marknader, som Storbritannien och Nya Zeeland.

Denna specifika variant av AceDeciever-skadlig kod förblir vilande om inte enheten har en IP-adress i Folkrepubliken Kina. Det är tydligt på grund av detta och leveransmediet att det riktar sig till kinesiska användare. Även om det också kan påverka alla som använder en kinesisk VPN eller någon som reser inom Kina.

När skadlig kod upptäcker att enheten finns i Kina kommer den att förvandlas från att vara en applikation till ladda ner och ändra tapeter, till en som maskeras som flera Apple-tjänster, som App Store, och Spelcenter.

AceDeceiver

Syftet med detta är, förutsägbart, att skörda Apple-referenser. Detta skulle sedan göra det möjligt för angriparen att köpa applikationer och e-böcker som de har placerat i App Store och i sin tur tjäna en sund vinst. AppDeciever kan emellertid inte bara "få tillgång till" dessa referenser, eftersom de lagras säkert i en krypterad behållare.

Så det använder social teknik taktik Vad är socialteknik? [MakeUseOf Explains]Du kan installera branschens starkaste och dyraste brandvägg. Du kan utbilda anställda om grundläggande säkerhetsrutiner och vikten av att välja starka lösenord. Du kan till och med låsa ner serverrummet - men hur ... Läs mer istället. AceDeceiver visar popup-fönster som ser ut som om de kommer från Apple och ber användaren bekräfta sina referenser. När användaren överensstämmer skickas dessa över nätverket till en fjärrserver.

Dessa applikationer har sedan tagits bort från butiken. Trots detta kan de fortfarande installeras av en angripare genom att utnyttja FairPlay Man-In-The-Middle-attacken.

Bör du vara orolig?

Så låt oss kliva av jaget. Har du anledning att vara orolig för det här? Tja, ja och nej.

Just nu är den huvudsakliga manifestationen av detta centrerad kring Kina. Den riktar sig mot kinesiska iPhones, den är vilande utanför Kina och den använder socialteknik som är noggrant utformad för att bli framgångsrik mot kinesiska användare.

Men trots det finns det anledning till oro. Det är ju baserat på en taktik som har använts sedan 2013 för att installera piratkopierad programvara. Tre år senare är detta hål ännu inte stängt, och det är det fortfarande i slutändan exploaterbar.

Det faktum att det framgångsrikt publicerades i App Store tre gånger väcker också allvarliga frågor om Apples förmåga att hålla den skadlig från skadlig kod.

AppStore

Som det påpekades av Palo Alto Labs skulle det dessutom vara trivialt att omarbeta denna skadlig programvara för att rikta in sig på användare i USA eller Europa.

Just nu är det inte mycket som kan göras för att bekämpa det. Palo Alto Networks rekommenderar alla som har installerat Aisi Helper omedelbart avinstallera det. De säger också att offren bör aktivera tvåfaktorautentisering och ändra sina lösenord.

De har också släppt två IPS-signaturer (Intrusion Prevention System) för företag som använder sina brandväggsapparater för att blockera attacken. Tyvärr är dessa inte tillgängliga för konsumenter.

Över till dig

Påverkades du av AceDeceiver Malware? Känner någon som var? Berätta om det i kommentarerna nedan.

Matthew Hughes är en programutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.