在HITB 2016 會議中,Mi3 Security公司的安全研究員Chilik Tamir發表了一個關于“SandJacking”攻擊的演講,利用一個未打補丁的iOS漏洞在未越獄的iOS設備上使用惡意版本替換合法的應用程序,獲取設備的敏感信息。
開發一個以Apple iOS系統為目標的惡意軟件并不簡單,首先,iOS中的應用程序都運行在沙箱中以防止其他進程訪問。沙箱中包含文檔、數據庫、cookies……其中的任何一項都會導致嚴重的信息泄露,因此保護沙箱十分重要。
蘋果也嘗試要求所有通過官網應用商店發布的應用程序使用證書簽名,而該證書則需要根據嚴格的識別程序獲取。另外,蘋果公司會對應用程序進行嚴格的審查,其安裝過程也會經過全面的驗證。
盡管如此,還是有一些攻擊者可以利用設計缺陷和漏洞使用惡意軟件感染設備。例如WireLurker,YiSpecter,XCodeGhost,ZergHelper,AceDeceiver。
濫用蘋果證書安裝惡意軟件
Chilik Tamir在會上演示了攻擊者如何利用蘋果最新推出的開發功能安裝惡意軟件。
在Xcode 7的介紹中,獨立開發者只需要提供Apple ID就可以獲取證書,創建iOS應用程序。眾所周知,創建Apple ID十分容易,創建者只需要提供一個用戶名和一個電子郵箱——當然,這些都無法證實是否真實。
但是應用程序的開發者并不想將這些類型的證書上傳到應用商店,這就意味著,他們可以不受蘋果的審查。當然,相比那些通過正規程序獲取證書的應用,這些應用的功能顯然是受限的。準確的說是,這些應用程序不允許訪問蘋果支付,應用程序域,游戲中心,iCloud,內購功能,存折/錢包,并且它們不能使用推送通知。
然而,這些使用“匿名”證書創建的應用仍然可以用于惡意軟件,利用獲取GPS數據,訪問受害者的地址簿和日歷,泄露exif數據,使用HealthKit框架(用于健康和健身應用)。
Su-A-Cyder工具
Tamir發布了一個名為Su-A-Cyder的POC工具,可以創建惡意的版本快速替換iOS設備中的合法應用。該工具創建的程序與合法的應用發揮同樣的功能,但是其中包含惡意的功能,使攻擊者可以該應用的完全控制和訪問權限。
由于Su-A-Cyder設計成在目標設備連接計算機時,使用惡意應用替換合法應用,因此該工具及其威脅向量更適用于具有高度針對性的攻擊,例如攻擊者可以接觸目標設備并已知密碼。
然而,Tamir指出,Su-A-Cyder攻擊還有一些可利用場景。例如,想要監視其配偶和子女的人,擁有多個設備訪問權的手機維修店員,企業員工將設備交給IT技術人員等。
在iOS 8.3版本發布之前,攻擊者可以很容易地通過為惡意軟件分配一個類似的標識符(綁定ID)并在設備上安裝(覆蓋原有版本)來替換合法的應用。iOS 8.3版本之后,蘋果禁止與存在ID相似的Apple ID安裝應用。
SandJacking攻擊
Tamir發現了一種新的方法,并將其命名為SandJacking,攻擊者可利用該方法在最新版本的iOS設備中使用Su-A-Cyder技術。
盡管蘋果在應用安裝過程中會打補丁,但是它忽略了恢復過程。這就使得擁有訪問權限的攻擊者可以創建備份,刪除合法應用,安裝惡意版本,然后從備份中恢復設備,該恢復不會刪除惡意應用,攻擊者可以訪問該應用相關的所有數據。
值得注意的是,該惡意應用只能為攻擊者提供應用沙箱的訪問權限。這意味著攻擊者需要為每個目標應用程序創建惡意版本。但是Tamir認為如果考慮自動化的話這將不會成為阻礙攻擊者的難題。
在會議上,Tamir以Skype為例演示了SandJacking攻擊。他在一次采訪中說,SandJacking攻擊已經在多個流行應用中成功測試。
惡意應用安裝后,用戶很難發現它與原程序的區別——用戶需要查看應用的證書和設備配置,驗證該應用是否來自合法的開發者。
該SandJacking漏洞在2015年12月被研究人員發現,并在1月報告給蘋果,蘋果已經確認了該漏洞,但是還沒有發布補丁。該漏洞修復后,Tamir會發布利用該漏洞利用工具。
京公網安備 11010502049343號