• 注意!上千苹果App存在后门,移动设备可被完全控制!
  • 蜗牛 发表于: 2015/11/16 18:43:00 | 分类标签:网络安全 苹果漏洞 APP后门| 热度:1469
  • 继XcodeGhost“病毒门”之后,美国知名网络安全公司FireEye近日指出,苹果系统中牵涉到2846个应用程序的一个广告库存有潜在的后门漏洞。该库的若干版本允许对移动设备中敏感数据和设备功能的非法访问。

    FireEye的相关团队表示,该库的有关信息指出,其属于mobiSage SDK的一个版本。而该团队进一步的研究发现,从5.3.3到6.4.4,共有17个版本的广告库存在后门漏洞。通过从远程服务器加载JavaScript代码,这些后门可以被完全控制,然后在用户的iOS设备中执行以下操作:

    1.抓取音频和截图
    2.监控和上传设备位置
    3.读取/删除/创建和修改App数据容器中的文件
    4.读取/写入和重置App的关键链
    5.把加密后的数据发送到远程服务器
    6.打开URL机制来识别和启动设备上的其他应用
    7.诱导用户点击“安装”按钮来安装非官方应用
    然而,在adSage发布的最新版mobiSage SDK v7.0.5中,这些后门已经被移除。由此,FireEye怀疑,这些存在后门的广告库是否由adSage故意设计或者由其中的第三方库/代码所引起。

    截止到11月4日,共有2846个应用被发现包含存在潜在后门的mobiSage SDK的相应版本。而且,FireEye共监测到900次可以加载JavaScript代码从而控制后门的连接adSage服务器请求。尽管还没有发现服务器试图发送恶意命令来激活后门的若干功能,这些受影响的应用会周期性的联系服务器来检查新的JavaScript代码。一不小心,恶意的JavaScript代码就可以被下载并执行,从而触发这些潜在的后门。

    具体而言,受影响的mobiSage库包含了两个关键性的组件——采用Objective-C实现的msageCore和采用JavaScript实现的msageJS。前者主要实现了潜在后门的底层功能,并通过一个WebView向msageJS暴露了一个接口;而后者主要提供了高层执行逻辑,并通过msageCore的接口触发潜在的后门。两个组件分别拥有各自的版本号。


    接下来,本文首先详细介绍msageCore的通信通道和高风险接口。然后,文章再详细分析msageJS如何能够被启动、升级,并触发后门。

    msageCore中的后门

    通信通道

    msageCore实现了一个利用广告库的WebView与msageJS通信的通用框架。该框架利用adsagejs://cmd&parameter格式的URL来传递命令和参数。通过下图中重新构造出的代码片段可以看出,msageCore正是通过从JavaScript的上下文中提取命令和参数,并将其放置到命令队列中。

    为了处理命令队列中的条目,msageCore又会把命令分别传递给对应的Objective-C类和方法。

    存在风险的接口

    每一个被调度的命令最终都会到达msageCore中的一个Objective-C的类。下表列出了msageCore的部分类和他们所暴露出的接口。
    msageCore的类名接口
    MSageCoreUIManagerPlugin- captureAudio: 
    - captureImage: 
    - openMail: 
    - openSMS: 
    - openApp: 
    - openInAppStore: 
    - openInAppStore: 
    - openCamera: 
    - openImagePicker: 
    - ...
    MSageCoreLocation- start: 
    - stop: 
    - setTimer: 
    - returnLocationInfo:webViewId: 
    - ....
    MSageCorePluginFileModule- createDir 
    - deleteDir: 
    - deleteFile: 
    - createFile: 
    - getFileContent: 
    - ...
    MSageCoreKeyChain- writeKeyValue: 
    - readValueByKey: 
    - resetValueByKey:
    MSageCorePluginNetWork- sendHttpGet: 
    - sendHttpPost: 
    - sendHttpUpload: 
    - ...
    MSageCoreEncryptPlugin 
    - MD5Encrypt: 
    - SHA1Encrypt: 
    - AESEncrypt: 
    - AESDecrypt: 
    - DESEncrypt: 
    - DESDecrypt: 
    - XOREncrypt: 
    - XORDecrypt: 
    - RC4Encrypt: 
    - RC4Decrypt 
    - ...
    从以上表格可以看出,这些接口包含了很多上文中提到的能力(抓取音频和截图等)。而且,通过这些接口搜集到的任何数据都可以采用被加密,并上传到远程服务器。

    除了这些接口,该广告库还包含了推荐和安装非官方应用的逻辑。这些应用程序通过调用某些版本iOS中的应有API而引入一些额外的风险。其详细信息可以参看FireEye相关的分析。

    msageJS中的远程控制

    msageJS中包含了与远程服务器及msageCore通信的JavaScript代码。其主要代码文件(夹)包含cfg.js、index.html、lib(文件夹)和sdkjs.js。其中,sdkjs.js包含了adsage的封装对象和执行命令的JavaScript的接口。该接口详细定义为: 
    adsage.exec(className, methodName, argsList, onSuccess, onFailure);

    其中,className和methodName分别对应了msageCore中类和方法;argsList可以是一个列表或者字典;onSuccess和onFailure为函数的回调参数。例如,利用该接口抓取音频的调用方式为:

    adsage.exec("MSageCoreUIManager", "captureAudio", ["Hey", 10, 40], onSuccess, onFailure);
    需要特别的注意的是,msageJS的代码并不是以明文文件的方式存储的。它是经过压缩和Base64编码后,放置在了广告库二进制代码的数据段。应用程序启动后,再将msageJS解码出来,并通过index.html来启动msageJS。之后,msageJS会发送一个POST请求到hxxp://entry.adsage.com/d/,来检查更新。如下图所示,服务器端会响应最新版msageJS的相关信息,包括URL下载地址.


    目前,FireEye已经在其Network Security(NX)和Mobile Threat Prevention(MTP)产品中内置了探测机制。用户可以直接利用其来势被受影响的应用和网络活动。
  • 原文出处:本站原创,转载请注明出处  
  • 请您注意

    ·自觉遵守:爱国、守法、自律、真实、文明的原则

    ·尊重网上道德,遵守《全国人大常委会关于维护互联网安全的决定》及中华人民共和国其他各项有关法律法规

    ·严禁发表危害国家安全,破坏民族团结、国家宗教政策和社会稳定,含侮辱、诽谤、教唆、淫秽等内容的作品

    ·承担一切因您的行为而直接或间接导致的民事或刑事法律责任

    ·您在编程中国社区新闻评论发表的作品,本网站有权在网站内保留、转载、引用或者删除

    ·参与本评论即表明您已经阅读并接受上述条款

  • 兄弟,你的问题
  • 感谢以下衣食父母

分享按钮