為提升系統保安,Apple 一直致力打擊系統破解(俗稱越獄)活動。不過為方便一些企業的使用,Apple 亦提供了一些認證措施,使到一些程式在沒有透過App Store亦能夠安裝。正是這個原因令到大陸出現大量的「助手」程式,透過這類程式就可以安裝盜版。而近日再被發現,有個新興木馬病毒出現,利用了Apple DRM 的設計漏洞,連企業認證也不用就能夠被安裝於系統中。
引述保安公司Palo Alto Networks最近發出的網誌報告指出:
我們發現了能成功感染沒有越獄裝置的新型iOS木馬程式家族,並將其命名為 「AceDeceiver」。有別於過往兩年一些iOS惡意軟件利用企業認證發動攻擊,AceDeceiver能在沒有任何企業認證下自行安裝。它是通過利用Apple的DRM機制上的設計漏洞進行,即使Apple已從App Store內移除AceDeceiver,這種新穎的攻擊載體仍有可能繼續蔓延。
在2015年七月至2016年二月期間,AceDeceiver家族旗下三個不同的iOS應用程式被上傳到官方的App Store,並聲稱為壁紙應用程式。這些應用程式使用ZergHelper的相似方法,通過在不同的地理位置執行不同的操作,成功繞過Apple的代碼審查至少七次(包括它們每個程式的首次上傳和隨後就Apple要求額外審查的四輪代碼更新)。在目前情況下,AceDeceiver只向位於中國的用戶作出惡意行為,但攻擊者能輕易地在任何時候作出改變。Apple在我們向它報告後於2016年二月下旬已從App Store刪除了這三個應用程式。然而,由於「FairPlay中間人攻擊」只需這些應用程式在App Store中存在過一次,因此這攻擊仍能運作。只要攻擊者能取得Apple認證的副本,這攻擊不需要使用現有的App Store 來傳播這些應用程式。
現時該木馬開發者仍然透過一款叫「愛思助手」的軟件去誘騙使用者安裝,從而盜取用戶的 Apple ID、密碼、個人檔案、銀行帳號等重要資料。
為安全起見,如果你有安裝或使用過這個助手程式的話,建議大家立即修改 Apple ID 密碼。如無必要,還是不要安裝任何來自大陸的什麼什麼助手程式吧!
