中國廣告商突破蘋果防線散播iOS病毒，台灣也成主災區

資安業者Palo Alto Networks揭露一鎖定iOS的惡意程式YiSpecter，這也是首次濫用iOS私有應用程式介面（Private APIs）功能的惡意程式，能夠感染越獄或未越獄的iOS裝置，而且迄今主要感染的對象為中國與台灣的iOS用戶。

Private APIs為iOS框架中所保留的各種功能，只供蘋果內部開發人員打造iOS內建行動程式時使用。這些API能夠存取諸如攝影機或藍牙等裝置的資源，或是裝置編號等資訊，也較無運行限制。為了防止外部開發人員使用這些API，蘋果在開發人員協議中明文禁止使用這些API，也未提供Private APIs的說明文件，採用Private APIs的第三方程式自然也無法通過嚴格的App Store上架審核。

然而，YiSpecter卻透過蘋果所提供的企業專案（Apple Developer Enterprise Program）濫用Private APIs，並藉此將它散布到iOS裝置上。蘋果的企業專案允許取得認證的企業自行開發iOS行動程式，而且不必經由App Store下載，而能自第三方來源下載，也因此躲過了蘋果的審核程序。

Palo Alto Networks指出，YiSpecter是由4個惡意元件所組成，這4個元件都擁有蘋果所發行的企業認證簽章，因此可自遠端的命令暨控制伺服器下載及安裝，其中有3個元件能夠隱藏自己的圖示，以避免使用者發現或刪除它們。

根據調查，YiSpecter至少從2014年的11月就開始散布，主要藏在一個宣稱「快播私密版」的影片播放程式，還暗示可用來觀賞色情影片，其他兩個宿主還包括HYQvod與DaPian。最重要的是，它會下載一個名為NoIcon的惡意程式。

當YiSpecter入侵iOS裝置後，它便能下載、安裝並執行任何iOS程式，還能綁架其他程式的執行階段，包括讓其他程式顯示廣告，改變Safari的預設搜尋引擎、書籤，或所開啟的頁面，也能將裝置資訊上傳至遠端伺服器。

YiSpecter的散布途徑則包括ISP業者的流量綁架、靈頓蠕蟲（Lingdun）、非官方的程式市集，以及藉由社交網站推廣等。

Palo Alto Networks也發現YiSpecter中惡意元件的企業簽章多數來自中國的微贏互動，YiSpecter的命令暨控制伺服器亦架設在微贏互動的所屬網域，因此相信YiSpecter是由微贏互動所開發。2011年成立的微贏互動為行動網路的廣告服務供應商，而YiSpecter在iOS裝置上的主要活動即是呈現廣告與蒐集裝置資訊。

蘋果已對Palo Alto Networks的發現提出回應，指出相關問題僅影響舊版本的iOS用戶，蘋果早在iOS 8.4修補了該漏洞，並已封鎖用來散布YiSpecter的行動程式，該公司鼓勵使用者採用最新的iOS版本，也建議只從可靠來源下載程式。

其實蘋果在iOS 9中已更新企業認證程式的安全機制，要求使用者自第三方安裝企業程式之前，必須先手動進行設定，提高相關攻擊的門檻。（編譯/陳曉莉）