DarkSideLoader:非越狱iOS设备上的流氓应用商店

https://p3.ssl.qhimg.com/t017ed5e04b5e30614c.jpg

最近Proofpoint发现了有针对iOS移动设备,即iPhone和iPad进行攻击的应用程序。这些程序当然不会发布在苹果应用商店中,有意思的是,这些设备也没有越狱。

在进一步的分析过程中,Proofpoint的安全研究小组发现了一个流氓应用商店,这个商店号称可以让没有越狱的iOS设备安装超过100万款应用程序,甚至可以免费下载付费应用。

这次的分析主要针对vShare,在Android和越狱的iOS设备方面,流氓应用商店已经存在多年了。而vShare找到了一种方法,使得非越狱设备可以使用它的商店。我们将这类流氓商店命名为“DarkSideLoader”。

有什么危险呢?

非越狱设备从DarkSideLoader商店下载iOS应用程序存在一定的风险。这些应用可能会使用私有的iOS API来访问操作系统函数,可能不会被已经通过苹果官方审核发布在苹果应用商店的应用程序所允许。而且这些应用还可能会使用已知的或者0day漏洞,这样这些应用可能会对设备进行破解或者非法获取管理员权限。

Android应用程序的先例已经证实了这种风险的危害性。Proofpoint的研究人员对Android和iOS上出现的vShare DarkSideLoader商店进行了分析。在Android上,我们发现了它们试图root设备,后台静默安装应用程序,和互联网上已知的恶意网站进行通信。

绕过苹果官方应用商店审查下载的应用程序也可能是远程访问木马,这样当受害者在公司内部使用网络时,攻击者可能远程访问公司内部网络。值得注意的是,vShare商店可能与世界任何地方的iOS设备进行连接,这也就代表着这种攻击技术的全球性扩张。

这种技术也可以用于获取iOS设备配置文件,攻击者可以远程配置VPN,将网络流量重定向到他们的中间人节点,甚至也可以更改各种操作系统设置。

https://p3.ssl.qhimg.com/t01f98b639a13ef1f45.png

sideloading是什么意思?

sideloading指的是下载和安装应用程序没有通过官方应用商店或者有效的企业应用商店。在Android上可以通过设置中启用允许未知来源应用而在iOS上之前要做到这样只能是靠越狱。而DarkSideLoader技术使得sideloading的应用程序可以使用伪造的或者被盗的企业应用证书进行签名,从而达到目的。

DarkSideLoader是如何产生的?

在Android上,只需要启用允许未知来源应用就可以从Google Play之外的应用程序商店下载应用。

而在iOS上,DarkSideLoader使用的技术比较复杂,以vShare为例,用户先在vshare的相关站点上下载安装vShare应用。应用程序已经签署了一个由苹果签发的企业应用程序分配证书。这种证书通常是企业分发给自己内部员工在内部程序应用商店使用的。当你在DarkSideLoader商店下载应用时。根据版本不同会用相应的提示,询问用户是否信任发布者。

https://p1.ssl.qhimg.com/t013c09db3133db2797.png

https://p3.ssl.qhimg.com/t01c8b80d7559c117de.png

点击信任后,应用程序被安装运行。企业证书也在设备中被安装和信任。这个应用程序也可以下载其他应用程序。

https://p4.ssl.qhimg.com/t01d569e719dc0acf6c.png

在iOS9中,单纯点击应用按钮并不会信任,用户必须在iOS设置中选择配置文件,点击发布者名称并选择信任。一旦完成了信任,DarkSideLoader应用商店就可以下载任何应用程序并且安装到用户的设备中。

而且相当“人性化”的是,vShare还会一步步指导用户去完成信任。

t011a39eeb1fbcff215.png

t016e4cd786e68c8769.png

t01f335e0eecccc5c5e.png

当用户从DarkSideLoader商店下载一个应用程序,商店会自动下载这些非法的应用程序并且使用自己的签名证书对其进行应用分发续签。因为商店应用在设备上是可信的,使用了它的证书下载安装的应用程序就就像是从合法的苹果应用商店中下载的应用程序一样。

流氓应用程序商店也可以使用DarkSideLoader技术实现大规模应用。它们可以将合法的游戏或者其他应用进行解密修改后重新打包签名,然后发布到流氓市场上。

https://p1.ssl.qhimg.com/t01b2a28610175861b9.png

为什么会有人使用DarkSideLoader商店?

这类市场会有风险,这是众所周知的,但为什么还会有人去用呢?Android应用程序的经验表明,用户或者他们的孩子会使用流氓市场下载应用的主要原因是可以免费。在这类商店中充斥着大量盗版内容,免费性吸引了众多用户。

vShare号称有超过100万应用程序。Proofpoin已经发现了15000个应用可以从中下载到,而在Android上更是超过40万。该网站还声称有超过4000万用户,根据我们的调查,其中大概25%的用户是iOS设备。

https://p1.ssl.qhimg.com/t012a5d7cdde91e832f.png

免费提供流行的收费应用,这一点吸引了大量用户使用DarkSideLoader商店。用户使用这类商店的时候可能还会认为他们是安全的,因为设备并没有越狱。但他们没有意识到,应用程序中可能会包含有恶意代码。来自流氓商店的恶意应用程序可能会使用私有API函数对操作系统进行访问或者使用已知的或者0day漏洞接管他们设备的控制权。

DarkSideLoader使用企业应用证书进行欺诈。

流氓市场可以通过这些方法来获取到一个企业应用程序分配证书:

1.创建一个假的公司来获取证书。DarkSideLoader商店只需要创建一个令人信服的假公司,使用偷来的信用卡来获取证书。他们所需要准备的只是一个电话号码和电子邮件地址,看起来像是企业对外联系方式就可以。

2.通过模仿真实存在的公司进行欺诈获得证书。这种方式中,操作者需要使用现有公司的相关信息,冒充公司员工去获得企业开发者账号以及企业应用程序分发证书。同样的,使用偷来的信用卡支付费用。这种方式更容易通过,毕竟所有信息都是“真实”的。

3.直接偷取公司的合法证书。因为有成千上万的合法iOS应用程序开发者和公司。攻击者只需要获得其中一个账号就可以申请一个新的企业应用程序分发证书,或者直接下载已经存在的副本。

总结和建议

简而言之,消费者不要信任和使用这类流氓商店,即使是非越狱设备也会有风险。企业方面也应当部署专用的解决方案,要能够检测出非法应用的存在以及他们所使用的证书情况。直接从企业证书层面进行限制是最有效的手段。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐