Cracked: AceDeceiver installerar skadlig kod på Factory iPhones

En ny iPhone malware kan infektera fabriksinställda iPhones utan att användaren inser, genom att utnyttja grundläggande brister i Apples FairPlay DRM-system. Detta ändrar saker.

En ny iPhone malware kan infektera fabriksinställda iPhones utan att användaren inser, genom att utnyttja grundläggande brister i Apples FairPlay DRM-system.  Detta ändrar saker.
Annons

IOS anses allmänt vara ett av de säkrare mobila operativsystemen. Den har utformats från grunden för att vara säker och har följaktligen undvikit många av de säkerhetshot som har plågat Android.

De få hot som finns för plattformen Smartphone Security: Kan iPhone få skadlig kod? Smartphone Security: Kan iPhone få skadlig kod? Malware som påverkar "tusentals" av iPhones kan stjäla App Store-referenser, men de flesta iOS-användare är helt säkra - så vad är det med iOS och skurk programvara? Läs mer tenderar att vara centrerad kring jailbroken enheter 4 Tvingande säkerhetsskäl att inte jailbreaka din iPhone eller iPad 4 Tvingande säkerhet Skäl att inte jailbreak Din iPhone eller iPad Jailbreaking kan bli av med Apples många restriktioner, men innan du jailbreak din enhet är det en bra idé att väga fördelarna och eventuella nackdelar. Läs mer eller de som annars har äventyras eller utnyttjat stulna företagscertifikat.

Men AceDeceiver är annorlunda. Det upptäcktes av Palo Alto Networks tidigare i veckan och kan infektera fabriksinställda iPhones utan att användaren inser, genom att utnyttja grundläggande brister i Apples FairPlay DRM-system.

Från piratkopiering till skadlig kod

Det sätt som AceDeceiver distribueras bygger på något som heter "Fairplay Man-In-the-Middle", vilket är en vanlig taktik som har använts sedan 2013 för att installera piratkopierade applikationer på un-jailbroken iPhones och iPads.

När en person köper en iPhone-applikation från en dator kan programmet skickas direkt till den telefonen. Men mellan köpet görs och ansökan levereras finns det en hel del kommunikation som inträffar mellan enheterna och Apples servrar.

I synnerhet kommer Apple att skicka en behörighetskod till iOS-enheten, vilket i huvudsak bekräftar klientenheten att ansökan har legitimt köpts. Om någon fångar en av dessa behörighetskoder och kan efterlikna hur Apples servrar interagerar med iOS-enheter, kommer de att kunna skicka program till den enheten.

AceDeceiverWorkflow

Dessa applikationer kan vara program som inte har tillåtits av Apple att visas i App Store. 8 Ljuva och inkonsekventa riktlinjer för Apples App Store [Yttrande] 8 Läckra och inkonsekventa riktlinjer för Apple App Store [Yttrande] Här är en radikal åsikt - du borde kunna att köra alla appar som du gillar på de enheter du äger. Apple håller inte med, och det vrids sig i pretzels skapa godtyckliga regler för vilken app ... Läs mer, eller kan vara piratkopierade applikationer.

I det här fallet är applikationerna som distribueras av denna nya spin på "Fairplay Man-In-The-Middle" malware-applikationer.

Möt Aisi Helper

För denna attack, FairPlay Man-In-The-Middle Vad är en Man-in-the-Middle Attack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer attack utförs av Aisi Helper, som är ett Windows-program som tros ha utvecklats i Shenzhen, Kina.

Till det nominella värdet antyder det att det är en legitim tredjeparts iDevice- hanteringsprodukt. Det har mycket av trappings av legitima program. Det tillåter användare att jailbreak och backup enheter på det lokala nätverket, och att installera om iOS om de behöver. Det är i grunden iTunes, om än utan musikspelare, och riktad mot den kinesiska marknaden.

aisihelper

Enligt ITJuzi, vilka profiler startar på den kinesiska marknaden, släpptes det först för första gången 2014. Därefter innehöll det inga skadliga beteenden. Sedan dess har den omfattande modifierats för att använda den ovannämnda strategin för att distribuera skadlig kod till alla anslutna enheter.

När Aisi Helper detekterar en ansluten enhet börjar det automatiskt och utan användarens medgivande att installera AppDeciever Trojan. Den enda aningen att detta händer är att en mystisk och oönskad applikation kommer att ha dykt upp i användarens lista över appar.

AceDeceiver Malware

Vid skrivandet har det varit tre av dessa trojaner. Var och en av dem har hittills ursprungligen masqueraded som bakgrundsbilder. Var och en av dessa har gjorts tillgängliga på App Store, efter att ha godkänt Apples notoriskt strikta källkodskontroller, där den granskades vid inlämning och vid varje efterföljande uppdatering. Detta skulle i teorin ha hindrat dem från att visas i App Store.

AceDeceiverWallpaper

Palo Alto Networks anser att utvecklarna kunde skärma dessa kontroller genom att skicka in dem utanför Kina och till att börja med göra dem tillgängliga för endast en handfull marknader, som Storbritannien och Nya Zeeland.

Denna specifika variant av AceDeciever malware förblir vilande om inte enheten har en IP-adress i Folkrepubliken Kina. Det är tydligt på grund av detta, och till leveransmediet, att det riktar sig till kinesiska användare. Även om det också kan påverka någon som använder en kinesisk VPN, eller någon som reser inom Kina.

När skadlig kod upptäcker att enheten är i Kina kommer den att omvandlas från att vara en applikation för att ladda ner och byta wallpwapers, till en som masquerades som flera Apple-tjänster, som App Store och Game Center.

AceDeceiver

Syftet med detta är förutsägbart att skörda Apple-referenser. Detta skulle då tillåta angriparen att köpa program och e-böcker som de har placerat i App Store, vilket i sin tur ger en hälsosam vinst. AppDeciever kan dock inte bara "komma åt" dessa uppgifter, eftersom de lagras säkert i en krypterad container.

Så det använder socialteknik taktik Vad är socialteknik? [MakeUseOf Förklarar] Vad är socialteknik? [MakeUseOf Explains] Du kan installera branschens starkaste och dyraste brandvägg. Du kan utbilda anställda om grundläggande säkerhetsprocedurer och vikten av att välja starka lösenord. Du kan till och med låsa ner serverns rum - men hur ... Läs mer istället. AceDeceiver kommer att visa popup-fönster som ser ut som om de kom från Apple och bad användaren att bekräfta sina uppgifter. När användaren överensstämmer skickas dessa över nätverket till en fjärrserver.

Dessa applikationer har sedan tagits bort från affären. Trots det kan de fortfarande installeras av en angripare, genom att utnyttja FairPlay Man-In-The-Middle attack.

Skulle du vara orolig?

Så, låt oss skära till jakten. Har du anledning att vara oroad över det här? Jo ja och nej.

Just nu är den huvudsakliga manifestationen av detta centrerad kring Kina. Det riktar sig till kinesiska iPhones, det är vilande utanför Kina, och det använder teknikteknik som är omsorgsfullt utformad för att lyckas mot kinesiska användare.

Men trots det finns det anledning till oro. Det bygger trots allt en taktik som har använts sedan 2013 för att installera piratkopierad programvara. Tre år senare, är detta hål ännu inte stängt, och det är fortfarande i slutändan exploaterbart .

Det faktum att det har publicerats framgångsrikt i App Store tre gånger väcker också allvarliga frågor om Apples förmåga att hålla den skadlig.

AppStore

Dessutom, som påpekats av Palo Alto Labs, skulle det vara trivialt att omarbeta denna malware för att rikta användare i USA eller Europa.

Just nu är det inte mycket som kan göras för att bekämpa det. Palo Alto Networks rekommenderar att alla som har installerat Aisi Helper omedelbart avinstallerar den. De säger också att offren bör aktivera tvåfaktors autentisering, liksom ändra sina lösenord.

De har också släppt två signaler för IPS (Intrusion Prevention System) för företag som använder sina brandväggar för att blockera attacken. Tyvärr är dessa inte tillgängliga för konsumenterna.

Över till dig

Har du påverkats av AceDeceiver Malware? Vet någon som var? Berätta om det i kommentarerna nedan.

In this article