當前位置:首頁 > Hacking Team無需越獄即可監控iOS用戶

公司新聞業界資訊網站技術社會寵物

Hacking Team無需越獄即可監控iOS用戶

簡介

近日總部位于意大利的監控軟件開發公司HackingTeam被黑,415GB文件被泄露,HackingTeam泄漏的數據至少涉及多個針對Android 4.4以下版本的遠程代碼執行和提權漏洞、多個針對Java、Word的瀏覽器沙箱逃逸漏洞的完整攻擊代碼(exploit)以及MacOS X、iOS、Android、WP8等系統的惡意軟件代碼,里面有Flash 0day, Windows字體0day, iOS enterprise backdoor app, Android selinux exploit, WP8 trojan,更為嚴重的是,Hacking Team 的終極遠控系統RCS,能夠感染包括云平臺在內的幾乎所有平臺或介質,實現了全平臺的RSC系統(包括windows phone)。

在HackingTeam泄漏的文件,我們發現了有針對IOS進行監控的代碼,一旦用戶點擊運行,就會請求獲取一些數據的訪問權限并追蹤用戶的位置,日歷和聯系人。整個過程中手機不需要越獄。

監控行為分析

相關代碼在\core-ios-master.zip\core-ios-master\ios-newsstand-app\newsstand-app文件夾下,通覽全部源碼之后,我們發現,監控的實現,主要是通過在目標設備上安裝一個報刊雜志應用,該應用安裝后顯示為一個空白應用,也沒有圖標。起代碼文件如下所示:

圖1

首先查看一下應用的信息文件info.plist,通過該文件知道該應用為一個報刊雜志類(NewsstandApp)應用,并指定了應用的顯示風格和圖標,部分信息如下所示:

圖2

然后看程序入口模塊Main.m,Main函數直接調用了AppDelegate類模塊啟動應用。

圖3

AppDelegate模塊主要功能是任務的派發以及后臺刷新。包括后臺獲取訪問權限,不斷刷新獲取用戶日歷,聯系人以及照片任務,鍵盤任務等。

圖4

同時該模塊調用接口ViewController創建了一個nil類型的gMainView,當view需要被展示而它卻是nil時,viewController會調用該方法

圖5

該方法中實現了獲取用戶信息的主要功能,其功能模塊為ViewConroller.m,該應用被加載后開始獲取日歷,聯系人,GPS位置信息以及用戶的照片。啟動代碼如下所示:

圖6

所有獲取到的信息都會通過RCS系統發送到遠程服務器,其RCS模塊以RCS開頭,傳輸過程中采用一系列的加密方式,加密模塊主要為以NS開頭的模塊,起后邊跟上其加密方式,剩下的還有鍵盤的實現模塊和網絡傳輸模塊,如下所示:

圖7

實測行為

將程序編譯,然后在手機上運行。安裝過后,會創建報刊雜志隱藏應用,長按應用即可顯示出來,在設置的應用列表中也可以看到,如下圖所示:

圖8

點擊該應用后,其所有的監控服務就會啟動起來,越獄用戶是沒有任何提示直接啟動,而非越獄用戶需要添加信任,如下圖所示:

圖9

但是該黑客團隊擁有企業證書,因此它可以通過類似于網絡鏈接的方式引導用戶下載安裝而不被察覺。

服務一旦啟動起來,應用開始請求他所有想獲取的數據權限,如下圖所示:

圖10

同時該應用增加了一個新的鍵盤,鍵盤界面和原生的IOS內置鍵盤相同,因此被攻擊用戶會在沒有察覺的情況下將他們所有的輸入信息發送到遠程服務器上。鍵盤如下所示:

圖11

需要注意的是,蘋果公司針對第三方鍵盤做了一些保護措施,他不允許第三方鍵盤運行在具有密碼標記的區域,因此該工具并不能夠從應用程序和網站中竊取用戶的輸入密碼,但它可以竊取用戶名,電子郵件等其他敏感信息。

感染途徑

蘋果公司做了大量的工作去保護了非越獄用戶遠離惡意軟件,公共報道的也是監控軟件只能去感染越獄的IOS設備,看似非越獄用戶是安全的。

Hacking Team擁有蘋果的企業證書,而企業證書是由蘋果公司發布給企業,并且允許企業不經過appstore審核直接將自己的應用發布到自己的網站上。其他人可以直接下載不用設備授權即可直接安裝,并且不限設備上限,因此使得該證書簽名的任何應用,不論目標IOS設備是否越獄,都可以安裝上。并且該監控工具是一個隱藏的報刊應用,因此可以分發到任何一臺IOS設備上。但是蘋果公司對此也做了一些安全警告,需要未越獄用戶點擊信任才可安裝,但是從企業網站上下載的應用,用戶一般都會忽略掉。

另外還可以通過捆綁越獄工具直接安裝到用戶手機中,或者通過點擊一些下載鏈接,email等也可以安裝在用戶設備中。

總結

蘋果公司做了大量的工作去保護了非越獄用戶遠離惡意軟件,公共報道的也是監控軟件只能去感染越獄的IOS設備,看似非越獄用戶是安全的。而Hacking Team企業證書的濫用導致監控工具惡意傳播,對非越獄用戶也造成了極大的危害,而蘋果公司也在前不久吊銷了該團隊的企業證書,但是潛在的威脅依然存在,用戶在平時下載第三方應用時候也要多注意程序的來源是否可信。

確認自己手機是安裝遠程監控可通過如下方法查看:

1.檢測應用中是否具有空名稱的應用程序

2.設置->通用->鍵盤查看是否有名為app.keyboard的第三方鍵盤

一些安全建議

1.添加手機密碼。很多間諜軟件安全都需要物理接觸,添加密碼使得它們的攻擊更艱難。

2.不要下載來自第三方市場或者鏈接的應用。

3.盡量不要越獄手機,如果不清楚請求權限的軟件是什么,不要添加信任

4.下載安全程序,定期掃描手機系統,如cm security等。

*本文作者:金山毒霸(企業賬號),轉載須注明來自FreeBuf黑客與極客

分享到:
點擊次數:  更新時間:2015-07-16  【打印此頁】  【關閉
?

嘉興蜂鳥網絡科技 版權所有 2008-2015 浙ICP備05784968

新疆喜乐彩骗局