受害的使用者在蘋果討論區上表示,瀏覽ITHome.com時經常出現「快播私密版」的彈出式廣告。

圖片來源: 

資安業者Palo Alto Networks揭露一鎖定iOS的惡意程式YiSpecter,這也是首次濫用iOS私有應用程式介面(Private APIs)功能的惡意程式,能夠感染越獄或未越獄的iOS裝置,而且迄今主要感染的對象為中國與台灣的iOS用戶。

Private APIs為iOS框架中所保留的各種功能,只供蘋果內部開發人員打造iOS內建行動程式時使用。這些API能夠存取諸如攝影機或藍牙等裝置的資源,或是裝置編號等資訊,也較無運行限制。為了防止外部開發人員使用這些API,蘋果在開發人員協議中明文禁止使用這些API,也未提供Private APIs的說明文件,採用Private APIs的第三方程式自然也無法通過嚴格的App Store上架審核。

然而,YiSpecter卻透過蘋果所提供的企業專案(Apple Developer Enterprise Program)濫用Private APIs,並藉此將它散布到iOS裝置上。蘋果的企業專案允許取得認證的企業自行開發iOS行動程式,而且不必經由App Store下載,而能自第三方來源下載,也因此躲過了蘋果的審核程序。

Palo Alto Networks指出,YiSpecter是由4個惡意元件所組成,這4個元件都擁有蘋果所發行的企業認證簽章,因此可自遠端的命令暨控制伺服器下載及安裝,其中有3個元件能夠隱藏自己的圖示,以避免使用者發現或刪除它們。

根據調查,YiSpecter至少從2014年的11月就開始散布,主要藏在一個宣稱「快播私密版」的影片播放程式,還暗示可用來觀賞色情影片,其他兩個宿主還包括HYQvod與DaPian。最重要的是,它會下載一個名為NoIcon的惡意程式。

當YiSpecter入侵iOS裝置後,它便能下載、安裝並執行任何iOS程式,還能綁架其他程式的執行階段,包括讓其他程式顯示廣告,改變Safari的預設搜尋引擎、書籤,或所開啟的頁面,也能將裝置資訊上傳至遠端伺服器。

YiSpecter的散布途徑則包括ISP業者的流量綁架、靈頓蠕蟲(Lingdun)、非官方的程式市集,以及藉由社交網站推廣等。

Palo Alto Networks也發現YiSpecter中惡意元件的企業簽章多數來自中國的微贏互動,YiSpecter的命令暨控制伺服器亦架設在微贏互動的所屬網域,因此相信YiSpecter是由微贏互動所開發。2011年成立的微贏互動為行動網路的廣告服務供應商,而YiSpecter在iOS裝置上的主要活動即是呈現廣告與蒐集裝置資訊。

蘋果已對Palo Alto Networks的發現提出回應,指出相關問題僅影響舊版本的iOS用戶,蘋果早在iOS 8.4修補了該漏洞,並已封鎖用來散布YiSpecter的行動程式,該公司鼓勵使用者採用最新的iOS版本,也建議只從可靠來源下載程式。

其實蘋果在iOS 9中已更新企業認證程式的安全機制,要求使用者自第三方安裝企業程式之前,必須先手動進行設定,提高相關攻擊的門檻。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容