可能在很多人看來,蘋果iOS系統相對嚴格的應用分發機制一定程度令iPhone安全性得到了保證。只要不越獄,就算用第三方市場——那些市場也不過是起到應用分發導流的作用,安全不會是個問題。
但你可能不知道,國內有個名為海馬蘋果助手的第三方應用商店,宣傳“不越獄,裝正版”,實際上這個市場中的不少應用都植入了廣告程序。其用戶正在不知不覺地為這個應用市場賺錢。
趨勢科技(Trend Micro)最近發布了一份有關第三方應用市場,濫用蘋果開發者企業項目的報告,這份報告主要點名的就是海馬市場。這個市場中,我的世界、Pokenmon Go、Terraria、Instagram、QQ等應用都存在問題,這些應用已經感染了超過7500萬蘋果用戶。如果你在用的話,可要小心了!
重新打包應用再分發
海馬市場并非將用戶導流到蘋果官方的App Store,而是讓用戶在App Store之外安裝應用,而且的確是不需要用戶越獄的。這是怎么做到的呢?有個叫做應用側加載(side-loading)的方案,這是蘋果專門為企業市場準備的。
蘋果為了能夠在企業市場有一席之地,尤其是現在流行的BYOD(也就是攜帶自己的設備辦公),iOS系統是允許企業用戶安裝企業內部應用的,這些應用不需要經過App Store的審核。海馬蘋果助手就是利用企業應用分發,偽裝成企業讓用戶安裝市場中的應用的。
值得一提的是,iOS 9這方面的信任機制是有提升的,其中包括采用分層認證過程——所以用戶在安裝這類企業部署的應用時會有各種提示。而且蘋果會撤銷那些采用欺騙方式獲得的企業證書,這也能一定程度阻止了第三方惡意應用在iOS系統中的部署。
不過海馬蘋果助手頻繁地更換企業證書,保證這些惡意應用可用。趨勢科技在報告中提到,海馬在短短半個月的時間里,就換了5個不同的證書。這些證書都是從合法企業盜取的,一般在地下黑市出售——這類證書的價格大約在300美元左右。這點小開銷相比海馬市場從包含廣告的應用中賺的錢,實在是很少一部分。
另一方面,雖然在iOS 9系統中,側加載應用部署過程中一路會給用戶各種安全警告,但用戶一般根本就不會在意這些警告,或者連警告內容都是完全忽略的。于是7800萬用戶被這類重新打包進了廣告程序的應用感染,也就不足為奇了。
感染后有何影響?
海馬市場中有2款修改版的《Pokemon Go》游戲,下載量已經超過100萬次。其中一個版本中包含注入虛假GPS地理位置數據的payload,這樣就能繞過Pokemon Go本身的地理位置限制了;另一個版本中則包含了會消耗用戶流量的動態庫(ad dylib),并且通過廣告程序暴露用戶個人數據。
海馬市場中包含相同動態庫的應用有下面這些:
其中的《我的世界:口袋版》安裝用戶數量已經達到了6887萬;Terraria應用也已經有超過600萬次的裝機量。
JSON文件請求C&C服務器部分代碼
篡改版Pokemon Go應用推百度廣告的代碼
這些應用嵌入來自廣告提供商的模塊,比如Inmobi、Mobvista、Adsailer、Chance、點入和百度等。相關的JSON文件中有獲取數據的URL地址:hxxp://spa[.]hadobi[.]com/app。像海馬市場重新打包的Pokemon Go應用中,就有采用C&C通訊的多個組件,指定廣告提供商顯示廣告的類型等。另外里面也有廣告提供商的標識,這是廣告提供商支付費用所需的。動態庫確認要顯示的廣告后,相應的廣告模塊就會請求API URL,然后從其IP地址拉取廣告。
除此之外,趨勢科技的分析還顯示:這些應用為了讓廣告投放更加準確,會收集設備和網絡信息,包括IMSI和IMEI碼,還有設備的越獄狀態、設備名、IP地址等,信息都會發往C&C服務器。
實際上除了海馬市場之外,還有一些第三方蘋果市場也在做類似的事情,比如說越南的HiStore市場。而防范手段依舊是老三樣,不要輕易下載來自不受信任的第三方市場的應用,尤其是那些部署非官方渠道應用的市場,其中的應用很可能被篡改過。應用開發者也可以部署一些機制,防止自己的應用被輕易篡改,比如代碼混淆,客戶端代碼簽名驗證等。
京公網安備 11010502049343號