Cracked: AceDeceiver installerer skadelig programvare på fabrikkens iPhones

En ny iPhone-malware kan infisere fabrikkinnstilte iPhones uten at brukeren innser, ved å utnytte grunnleggende feil i Apples FairPlay DRM-system. Dette endrer ting.

En ny iPhone-malware kan infisere fabrikkinnstilte iPhones uten at brukeren innser, ved å utnytte grunnleggende feil i Apples FairPlay DRM-system.  Dette endrer ting.
Annonse

IOS er allment ansett som et av de sikrere mobile operativsystemene. Den er designet fra grunnen til å være sikker, og har derfor unngått mange av sikkerhetshotene som har plaget Android.

De få truslene som eksisterer for plattformen Smartphone Security: Kan iPhones få skadelig programvare? Smartphone Security: Kan iPhones få skadelig programvare? Malware som påvirker "tusenvis" av iPhones, kan stjele App Store-legitimasjon, men de fleste iOS-brukere er helt trygge - så hva er avtale med iOS og rogue-programvare? Les mer pleier å være sentrert rundt jailbroken enheter 4 Kompetente sikkerhetsgrunner til ikke å jailbreak iPhone eller iPad 4 Kompromissløse sikkerhetsgrunner til ikke å jailbreak iPhone eller iPad Jailbreaking kan kvitte seg med Apples mange restriksjoner, men før du jailbreak enheten din er det en god ide å veie fordelene og potensielle ulemper. Les mer eller de som ellers er blitt kompromittert, eller utnytte stjålne bedriftssertifikater.

Men AceDeceiver er annerledes. Det ble oppdaget av Palo Alto Networks tidligere denne uken, og kan infisere fabrikkinnstilte iPhones uten at brukeren skjønner, ved å utnytte grunnleggende feil i Apples FairPlay DRM-system.

Fra piratkopiering til skadelig programvare

Slik AceDeceiver distribueres er basert på noe som heter "Fairplay Man-In-the-Middle", som er en vanlig taktikk som har blitt brukt siden 2013 for å installere piratkopierte applikasjoner på un-jailbroken iPhones og iPads.

Når en person kjøper en iPhone-applikasjon fra en datamaskin, kan søknaden sendes umiddelbart til den telefonen. Men mellom kjøpet blir gjort og søknaden blir levert, skjer det en hel del kommunikasjon mellom enhetene og Apples servere.

Spesielt vil Apple sende en autorisasjonskode til iOS-enheten, som i hovedsak bekrefter klientenheten at søknaden er legitimt kjøpt. Hvis noen fanger en av disse autorisasjonskodene, og kan etterligne hvordan Apples servere samhandler med iOS-enheter, kan de sende programmer til den enheten.

AceDeceiverWorkflow

Disse programmene kan være applikasjoner som ikke har blitt tillatt av Apple å vises på App Store. 8 Latterlige og inkonsekvente retningslinjer for Apple App Store [Opinion] 8 Latterlige og inkonsekvente Apple App Store Retningslinjer [Opinion] Her er en radikal mening - du bør kunne å kjøre alle programmer du liker på enhetene du eier. Apple er ikke enig, og det er vridd seg i pretzels å skape vilkårlige regler for hvilket app ... Les mer, eller kunne være piratkopierte applikasjoner.

I dette tilfellet er applikasjonene som distribueres av denne nye spin på "Fairplay Man-In-The-Middle" malwareprogrammer.

Møt Aisi Helper

For dette angrepet, er Fairplay Man-In-The-Middle Hva er en mann-i-midt-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer angrep utføres av Aisi Helper, som er et Windows-program, antatt å ha blitt utviklet i Shenzhen, Kina.

Til pålydende er det et legitimt tredjeparts iDevice- styringsprodukt. Den har mye av trappings av legitime programmer. Det tillater brukere å jailbreak og backup enheter på det lokale nettverket, og å installere iOS om de trenger. Det er egentlig iTunes, riktignok uten musikkspilleren, og rettet rett på det kinesiske markedet.

aisihelper

Ifølge ITJuzi, som oppstart av profiler på det kinesiske markedet, ble det først utgitt i 2014. Da var det ikke noe skadelig atferd. Siden da har den blitt omfattende endret for å bruke den nevnte strategien for å distribuere skadelig programvare til alle tilkoblede enheter.

Når Aisi Helper oppdager en tilkoblet enhet, vil den automatisk, og uten samtykke fra brukeren, begynne å installere AppDeciever Trojan. Det eneste hint om at dette skjer, er at et mystisk og uønsket program vil ha vist seg i brukerens liste over apper.

AceDeceiver Malware

På tidspunktet for skriving har det vært tre av disse trojanerne. Hver av dem har, så langt, først masqueraded som bakgrunnsbilder. Hver av disse har blitt gjort tilgjengelig på App Store, etter å ha bestått Apples notorisk strenge kildekoden sjekker, hvor den blir vurdert ved innsending, og ved hver senere oppdatering. Dette, i teorien, burde ha forhindret dem i å vises i App Store.

AceDeceiverWallpaper

Palo Alto Networks mener utviklerne kunne skjære disse kontrollene ved å sende dem utenom Kina, og først og fremst gjøre dem tilgjengelige for bare en håndfull markeder, som Storbritannia og New Zealand.

Denne spesifikke varianten av AceDeciever malware forblir dvalende, med mindre enheten har en IP-adresse i Folkerepublikken Kina. Det er klart på grunn av dette, og til leveringsmediet, at det er rettet mot kinesiske brukere. Selv om det også kan påvirke noen som bruker en kinesisk VPN, eller noen som reiser i Kina.

Når malware oppdager enheten er i Kina, vil den forvandle seg fra å være bare et program for å laste ned og bytte wallpwapers, til en som masquerades som flere Apple-tjenester, som App Store og Game Center.

AceDeceiver

Målet med dette er, forutsigbart, å høste Apple-legitimasjon. Dette vil da tillate angriperen å kjøpe applikasjoner og e-bøker de har plassert på App Store, og i sin tur gir et sunt fortjeneste. AppDeciever kan imidlertid ikke bare "få tilgang til" disse legitimasjonene, da de er lagret sikkert i en kryptert container.

Så bruker den sosialteknikk taktikk Hva er sosialteknikk? [MakeUseOf Forklarer] Hva er samfunnsteknikk? [MakeUseOf Forklarer] Du kan installere bransjens sterkeste og dyreste brannmur. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Du kan til og med låse ned serverrommet - men hvordan ... Les mer i stedet. AceDeceiver vil vise popup-vinduer som ser ut som de har kommet fra Apple, og ber brukeren om å bekrefte sine legitimasjonsbeskrivelser. Når brukeren overholder disse, sendes disse over nettverket til en ekstern server.

Disse applikasjonene har siden blitt fjernet fra butikken. Til tross for det, kan de fortsatt installeres av en angriper ved å utnytte FairPlay Man-In-The-Middle-angrepet.

Skulle du være bekymret?

Så, la oss kutte til jakten. Har du grunn til å være bekymret for dette? Vel, ja og nei.

Akkurat nå er den viktigste manifestasjonen av dette sentrert rundt Kina. Det er målrettet mot kinesiske iPhones, det er sovende utenfor Kina, og det bruker sosialteknikk taktikk som er nøye utformet for å lykkes mot kinesiske brukere.

Men til tross for det er det grunn til bekymring. Tross alt er det basert på en taktikk som har blitt brukt siden 2013 for å installere piratkopiert programvare. Tre år senere, er dette hullet ennå ikke lukket, og det er fortsatt til slutt utnyttbart .

Faktumet som ble publisert på App Store tre ganger, reiser også alvorlige spørsmål om Apples evne til å holde det skadelig.

App Store

Videre, som påpekt av Palo Alto Labs, ville det være trivielt å omarbeide denne malware for å målrette brukere i USA eller Europa.

Akkurat nå er det ikke mye som kan gjøres for å bekjempe det. Palo Alto Networks anbefaler alle som har installert Aisi Helper umiddelbart å avinstallere den. De sier også at ofrene bør aktivere tofaktorautentisering, samt endre passordene sine.

De har også gitt ut to signaler for IPS (Intrusion Prevention System) for bedrifter som bruker brannmurapparatene sine, for å blokkere angrepet. Dessverre er disse ikke tilgjengelige for forbrukerne.

Over til deg

Ble du rammet av AceDeceiver Malware? Kjenner noen som var? Fortell meg om det i kommentarene nedenfor.

In this article