本文主要是介绍FireEye:Hacking Team军火库中大量运用iOS假面攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
在早前我们就已经发布过有关iOS假面攻击威胁的文章,你可以参考文末参考文档中[2][3][4]。到目前为止,这类攻击依旧十分流行。FireEye最近从HackingTeam军火库中发现11款iOS App使用了假面攻击,其中有一款恶意App还是针对未越狱用户的。 对这些受欢迎的社交App以及聊天App进行逆向工程并加入攻击代码。其中包括WhatsApp, Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram,以及 VK。与这些App的正常版本不同的是,这些假面App都含有一个泄漏敏感数据以及连接远程服务器的设计。由于App中所提供的服务,图标等与应用商店中真实的App完全相同,他们可以放心大胆的替换iOS 8.1.3版本之前的真实App。 注意,攻击者是可以远程配置图标的。所以对于高于iOS 8.1.3版本的设备,尽管假面攻击漏洞已经被修复(App使用相同的图标是不会被替换的),攻击者仍然可以通过配置一个独特的图标来部署假面App。
Skype, Wechat等中的语音通话记录 Skype, Whats App, Facebook messenger等中的短消息拦截 Chrome网站历史记录 电话 SMS/短信内容 精确的GPS坐标记录 联系人信息 照片需要特别注意的是,dylib有能力完成仅从目标用户下载数据的任务。其会将IMEI发送到远程服务器进行筛选,攻击者看是否感兴趣,然后服务器再决定是否获取其敏感信息。尽管如此,如果用户在keychain中将SKIP-LICENSE设置为1,我们有方法绕过其检测。
通过URL进行配置的方案
远程服务器和恶意行为都是通过URL进行配置的,在每一个样本案例中,我们发现一个用来增加Info.plist文件的定制URL。这个URL遵循“TIGI0000X://”格式,与表格中所列相同。
结语
从HackingTeam泄漏出的工具可以看出,针对iOS设备更加先进的攻击方法已经出现。我们鼓励iOS用户保持最快速度更新固件版本,以及验证应用程序的来源。参考文档
[1] VB2014 paper: Apple without a shell – iOS under targeted attack [2] iOS Masque Attack Revived: Bypassing Prompt for Trust and App URL Scheme Hijacking [3] Masque Attack: All Your iOS Apps Belong to Us [4] Three New Masque Attacks against iOS: Demolishing, Breaking and Hijacking * 参考来源 fireeye ,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)原文发布时间:2017年3月24日
本文由:安全加 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/fireeye%EF%BC%9Ahacking-team%E5%86%9B%E7%81%AB%E5%BA%93%E4%B8%AD%E5%A4%A7%E9%87%8F%E8%BF%90%E7%94%A8ios%E5%81%87%E9%9D%A2%E6%94%BB%E5%87%BB
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
这篇关于FireEye:Hacking Team军火库中大量运用iOS假面攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
