3月17日消息,据外电报道,网络安全公司Palo Alto Networks(以下简称“Palo Alto”)周三发布官方博客称,该公司已发现了一款名为“AceDeceiver”的新型iOS病毒,该病毒已成功感染了未越狱的iOS设备。
与前两年发现的iOS病毒不同,AceDeceiver并未借助突破企业认证进入iOS系统,而是在不需要任何企业认证的情况下就能够自行安装。AceDeceiver能做到这一点,是发现了苹果数字版权管理(DRM)机制的设计漏洞。即便是苹果将AceDeceiver在应用商店(App Store)中删除,该病毒也能够通过新奇的攻击途径进行传播。
AceDeceiver是Palo Alto发现的较早款借助苹果数字版权管理保护机制,也就是FairPlay的设计漏洞进行传播的病毒。无论iOS设备是否越狱,该病毒都能够把恶意应用安装到设备当中。这一技术称为“FairPlay中间人攻击”(FairPlay Man-In-The-Middle),自2013年开始就被使用用于传播盗版iOS应用,但这也是Palo Alto首次发现被用于传播恶意病毒。(在2014年举办的USENIX安全研讨会中,曾展示过FairPlay中间人攻击技术。但是,使用该技术发起的攻击仍然能够取得成功。)
借助用户电脑上的iTunes客户端,苹果准许用户通过App Store应用商店购买和下载iOS应用。用户可以使用计算机把应用安装到iOS设备当中。对于每一款安装的应用,iOS设备都需要一个授权代码,来证明应用是用户已经购买的。在“FairPlay中间人攻击”当中,攻击者从App Store应用商店购买应用,然后拦截和保留授权代码。他们然后会开发模拟iTunes客户端行为的PC软件,骗取iOS设备相信应用是由用户购买的。因此,用户能够安装他们事实上未购买的应用,软件开发者也借此在用户不知情的情况下把恶意应用安装到他们的设备当中。
AceDeceiver家族目前已拥有多个成员。Palo Alto发现在2015年7月至2016年2月期间,已有三款不同的AceDeceiver病毒被上传到了应用商店App Store。上述病毒均已墙纸应用进行伪装。通过采用类似于病毒ZergHelper的做法,这些应用已成功的绕过了至少7次苹果代码审查。在Palo Alto去年2月底向苹果报告此事之后,苹果已经从应用商店下架了这三款应用。但是因为“FairPlay中间人攻击”只需要这些应用曾经在苹果应用商店上架即可执行,因此“FairPlay中间人攻击”仍可能会出现。攻击人获得了来自苹果的授权代码就能够执行攻击,而不需要应用商店灾区传播这些应用。
病毒制作者开发出一款名为“爱思助手”(Aisi Helper)的Windows客户端,用于执行“FairPlay中间人攻击”。爱思助手声称是一款专注于苹果机型的苹果助手软件,能够为iOS提供重新安装、越狱、系统备份、设备管理和系统清理等服务。但与此同时,爱思助手一直在与安装爱思助手客户端PC相连的iOS设备上秘密安装恶意软件。这些恶意iOS应用提供了由病毒作者控制的第三方应用商店连接,让用户下载iOS应用或游戏。它鼓励用户输入苹果ID和密码获取更多的功能,并把这些认证信息在加密后上传到AceDeceiver的C2服务器。Palo Alto的认定显示,部分早期版本的AceDeceiver使用了时间为2015年3月的企业认证。
在Palo Alto发表官方博客时,AceDeceiver病毒主要影响到中国大陆的iOS设备用户。不过更严重的问题是,AceDeceiver已被证明是让恶意病毒感染非越狱iOS设备的较为轻松的途径。正因为如此,Palo Alto预计AceDeceiver病毒将会在全球更多的国家和地区进行传播。 
