中国人开发滥用苹果应用程序测试证书要安装盗版应用程序
最近在Apple的官方商店找到的中国iOS应用程序包含隐藏的功能,允许用户在非越狱设备上安装盗版应用程序。其创建者利用了一个相对较新的功能,让iOS开发人员获得有限的应用程序部署和测试的免费签名证书。
iOS的恶意软件程序数量非常低,直到现在主要是因为苹果对其生态系统的严格控制。尚未越狱的设备 - 删除了其安全限制 - 只允许从官方App Store获得的应用程序,并在苹果公司审查和批准后。
企业有一个单独的方法,用于将内部开发的应用程序分发到IOS设备,而无需在App Store上发布它们,但它依赖于通过Apple Developer Enterprise程序获得的特殊签名证书。
Enterprise证书已被用于在过去的非越狱IOS设备上安装恶意软件,并且它是使用新找到的中文应用程序的技术之一,该技术称为Zerghelper或XY Helper。但是,它不是最有趣的。
根据安全公司Palo Alto Networks的研究人员,Zerghelper还滥用了个人开发证书,Apple在9月发布了Xcode 7.0引入了一种新型的签名证书。Xcode是主要的工具或集成开发环境(IDE) - 用于开发IOS和Mac OS X应用程序。
从Xcode 7开始,开发人员可以构建应用程序,签名并使它们在自己的设备上运行,而不在App Store中发布它们。这使得在不参加Apple的开发人员计划的情况下更容易测试应用程序,每年需要99美元的订阅。
要生成个人开发证书,应用程序制造商必须使用连接到计算机的手机的Xcode。Xcode从Apple获取证书的确切过程并未被公开记录,但Zerghelper创作者似乎已删除。
“我们认为有人详细讨论了逆向Xcode,以分析这一部分的代码,以便他们可以实现与Xcode的完全相同的行为 - 实际上,成功地欺骗了Apple的服务器,”Palo Alto Networks研究人员在一个博客文章中表示。
在去年发布的功能发布后,有些人表示担忧,攻击者可能会滥用它以创建和分发恶意软件到非越狱设备。研究人员说,Zerghelper确实可能突出了它的滥用潜力“以广泛的自动化方式”。
事实上,有人最近在一个热门的中国安全论坛上销售代码,可以自动注册Apple ID,然后为他们生成个人开发证书。研究人员表示,此帖子已被删除。
Zerghelper还向用户提供免费的Apple ID,并不清楚这些ID来自其他设备以及应用程序是否从其他设备窃取它们。该应用程序在10月底之前在官方App Store中提供,直到星期六,当Apple删除了Palo Alto网络后删除了。
该公司的研究人员在Zerghelper中发现了迄今为止没有明确的恶意行为,其主要目标是充当替代应用商店,允许用户在没有越狱的IOS设备的情况下安装破解的游戏和其他盗版的应用程序。
它的创造者似乎通过使用简单的技巧欺骗了苹果的审阅者。该应用程序根据“Happy Daily English”名称(中文)提交给App Store,并作为学习英语的帮助应用程序。
一旦安装在手机上,应用程序表现为如果用户的IP(Internet协议)地址来自中国大陆外,则表现为宣传。但是,如果地址来自中国,则会出现不同的界面,将通过安装供应配置文件来指导用户。这类似于设备在注册到移动设备管理系统时经历的过程。
完成后,用户可以从备用App Store安装应用程序。其中一些与被盗的企业证书签署,但其他人签署了Xcode免费生成的新个人开发证书。
“我们不知道App Store Reviewers所在的位置,”Palo Alto Networks研究人员说。“如果他们不在中国大陆,这种方法可以欺骗他们看到合法的应用程序。即使他们在中国,作者也可以在审查期间关闭该网页,以便审阅者通过分析其行为无法看到实际功能。“
该应用程序还使用了另一种越来越多的流行技术,允许开发人员动态地改变他们的应用程序“代码,而不将新版本提交给官方应用商店以进行审查。这是通过集成一个名为WAX的框架来完成的,该框架桥接Lua脚本到原生IOS Object-C方法。
虽然Zerghelper不是恶意软件本身,但它使用的技术可以激发未来的恶意攻击。被盗的企业Certficates过去已被滥用,但Zerghelper通过自动生成免费的个人开发证书进一步迈出一步。
“这是令人担忧的,因为滥用这些证书可能是未来攻击的第一步,”Palo Alto Networks研究人员说。