可能在很多人看来,苹果iOS系统相对严格的应用分发机制一定程度令iPhone安全性得到了保证。只要不越狱,就算用第三方市场——那些市场也不过是起到应用分发导流的作用,安全不会是个问题。
但你可能不知道,国内有个名为海马苹果助手的第三方应用商店,宣传“不越狱,装正版”,实际上这个市场中的不少应用都植入了广告程序。其用户正在不知不觉地为这个应用市场赚钱。
趋势科技(Trend Micro)最近发布了一份有关第三方应用市场,滥用苹果开发者企业项目的报告,这份报告主要点名的就是海马市场。这个市场中,我的世界、Pokenmon Go、Terraria、Instagram、QQ等应用都存在问题,这些应用已经感染了超过7500万苹果用户。如果你在用的话,可要小心了! 重新打包应用再分发海马市场并非将用户导流到苹果官方的App Store,而是让用户在App Store之外安装应用,而且的确是不需要用户越狱的。这是怎么做到的呢?有个叫做应用侧加载(side-loading)的方案,这是苹果专门为企业市场准备的。 苹果为了能够在企业市场有一席之地,尤其是现在流行的BYOD(也就是携带自己的设备办公),iOS系统是允许企业用户安装企业内部应用的,这些应用不需要经过App Store的审核。海马苹果助手就是利用企业应用分发,伪装成企业让用户安装市场中的应用的。 值得一提的是,iOS 9这方面的信任机制是有提升的,其中包括采用分层认证过程——所以用户在安装这类企业部署的应用时会有各种提示。而且苹果会撤销那些采用欺骗方式获得的企业证书,这也能一定程度阻止了第三方恶意应用在iOS系统中的部署。
不过海马苹果助手频繁地更换企业证书,保证这些恶意应用可用。趋势科技在报告中提到,海马在短短半个月的时间里,就换了5个不同的证书。这些证书都是从合法企业盗取的,一般在地下黑市出售——这类证书的价格大约在300美元左右。这点小开销相比海马市场从包含广告的应用中赚的钱,实在是很少一部分。 另一方面,虽然在iOS 9系统中,侧加载应用部署过程中一路会给用户各种安全警告,但用户一般根本就不会在意这些警告,或者连警告内容都是完全忽略的。于是7800万用户被这类重新打包进了广告程序的应用感染,也就不足为奇了。 感染后有何影响?海马市场中有2款修改版的《Pokemon Go》游戏,下载量已经超过100万次。其中一个版本中包含注入虚假GPS地理位置数据的payload,这样就能绕过Pokemon Go本身的地理位置限制了;另一个版本中则包含了会消耗用户流量的动态库(ad dylib),并且通过广告程序暴露用户个人数据。 海马市场中包含相同动态库的应用有下面这些:
其中的《我的世界:口袋版》安装用户数量已经达到了6887万;Terraria应用也已经有超过600万次的装机量。
JSON文件请求C&C服务器部分代码
篡改版Pokemon Go应用推百度广告的代码 这些应用嵌入来自广告提供商的模块,比如Inmobi、Mobvista、Adsailer、Chance、点入和百度等。相关的JSON文件中有获取数据的URL地址:hxxp://spa[.]hadobi[.]com/app。像海马市场重新打包的Pokemon Go应用中,就有采用C&C通讯的多个组件,指定广告提供商显示广告的类型等。另外里面也有广告提供商的标识,这是广告提供商支付费用所需的。动态库确认要显示的广告后,相应的广告模块就会请求API URL,然后从其IP地址拉取广告。 除此之外,趋势科技的分析还显示:这些应用为了让广告投放更加准确,会收集设备和网络信息,包括IMSI和IMEI码,还有设备的越狱状态、设备名、IP地址等,信息都会发往C&C服务器。
实际上除了海马市场之外,还有一些第三方苹果市场也在做类似的事情,比如说越南的HiStore市场。而防范手段依旧是老三样,不要轻易下载来自不受信任的第三方市场的应用,尤其是那些部署非官方渠道应用的市场,其中的应用很可能被篡改过。应用开发者也可以部署一些机制,防止自己的应用被轻易篡改,比如代码混淆,客户端代码签名验证等。
|