写点什么

上千苹果 App 存在后门,移动设备可被完全控制

  • 2015-11-15
  • 本文字数:2194 字

    阅读完需:约 7 分钟

XcodeGhost“病毒门”之后,美国知名网络安全公司 FireEye 近日指出,苹果系统中牵涉到 2846 个应用程序的一个广告库存有潜在的后门漏洞。该库的若干版本允许对移动设备中敏感数据和设备功能的非法访问。

FireEye 的相关团队表示,该库的有关信息指出,其属于 mobiSage SDK 的一个版本。而该团队进一步的研究发现,从 5.3.3 到 6.4.4,共有 17 个版本的广告库存在后门漏洞。通过从远程服务器加载 JavaScript 代码,这些后门可以被完全控制,然后在用户的 iOS 设备中执行以下操作:

  • 抓取音频和截图
  • 监控和上传设备位置
  • 读取 / 删除 / 创建和修改 App 数据容器中的文件
  • 读取 / 写入和重置 App 的关键链
  • 把加密后的数据发送到远程服务器
  • 打开 URL 机制来识别和启动设备上的其他应用
  • 诱导用户点击“安装”按钮来安装非官方应用

然而,在 adSage 发布的最新版 mobiSage SDK v7.0.5 中,这些后门已经被移除。由此,FireEye 怀疑,这些存在后门的广告库是否由 adSage 故意设计或者由其中的第三方库 / 代码所引起。

截止到 11 月 4 日,共有 2846 个应用被发现包含存在潜在后门的 mobiSage SDK 的相应版本。而且,FireEye 共监测到 900 次可以加载 JavaScript 代码从而控制后门的连接 adSage 服务器请求。尽管还没有发现服务器试图发送恶意命令来激活后门的若干功能,这些受影响的应用会周期性的联系服务器来检查新的 JavaScript 代码。一不小心,恶意的 JavaScript 代码就可以被下载并执行,从而触发这些潜在的后门。

具体而言,受影响的 mobiSage 库包含了两个关键性的组件——采用 Objective-C 实现的 msageCore 和采用 JavaScript 实现的 msageJS。前者主要实现了潜在后门的底层功能,并通过一个 WebView 向 msageJS 暴露了一个接口;而后者主要提供了高层执行逻辑,并通过 msageCore 的接口触发潜在的后门。两个组件分别拥有各自的版本号。

接下来,本文首先详细介绍 msageCore 的通信通道和高风险接口。然后,文章再详细分析 msageJS 如何能够被启动、升级,并触发后门。

msageCore 中的后门

通信通道

msageCore 实现了一个利用广告库的 WebView 与 msageJS 通信的通用框架。该框架利用adsagejs://cmd&parameter格式的 URL 来传递命令和参数。通过下图中重新构造出的代码片段可以看出,msageCore 正是通过从 JavaScript 的上下文中提取命令和参数,并将其放置到命令队列中。

为了处理命令队列中的条目,msageCore 又会把命令分别传递给对应的 Objective-C 类和方法。

存在风险的接口

每一个被调度的命令最终都会到达 msageCore 中的一个 Objective-C 的类。下表列出了 msageCore 的部分类和他们所暴露出的接口。

msageCore 的类名 接口 MSageCoreUIManagerPlugin - captureAudio:
- captureImage:
- openMail:
- openSMS:
- openApp:
- openInAppStore:
- openInAppStore:
- openCamera:
- openImagePicker:
- … MSageCoreLocation - start:
- stop:
- setTimer:
- returnLocationInfo:webViewId:
- … MSageCorePluginFileModule - createDir
- deleteDir:
- deleteFile:
- createFile:
- getFileContent:
- … MSageCoreKeyChain - writeKeyValue:
- readValueByKey:
- resetValueByKey: MSageCorePluginNetWork - sendHttpGet:
- sendHttpPost:
- sendHttpUpload:
- … MSageCoreEncryptPlugin

  • MD5Encrypt:
    - SHA1Encrypt:
    - AESEncrypt:
    - AESDecrypt:
    - DESEncrypt:
    - DESDecrypt:
    - XOREncrypt:
    - XORDecrypt:
    - RC4Encrypt:
    - RC4Decrypt
    - …从以上表格可以看出,这些接口包含了很多上文中提到的能力(抓取音频和截图等)。而且,通过这些接口搜集到的任何数据都可以采用被加密,并上传到远程服务器。

除了这些接口,该广告库还包含了推荐和安装非官方应用的逻辑。这些应用程序通过调用某些版本 iOS 中的应有 API 而引入一些额外的风险。其详细信息可以参看 FireEye 相关的分析

msageJS 中的远程控制

msageJS 中包含了与远程服务器及 msageCore 通信的 JavaScript 代码。其主要代码文件(夹)包含cfg.jsindex.htmllib(文件夹)sdkjs.js。其中,sdkjs.js 包含了 adsage 的封装对象和执行命令的 JavaScript 的接口。该接口详细定义为:
adsage.exec(className, methodName, argsList, onSuccess, onFailure);

其中,classNamemethodName分别对应了 msageCore 中类和方法;argsList可以是一个列表或者字典;onSuccessonFailure为函数的回调参数。例如,利用该接口抓取音频的调用方式为:

复制代码
adsage.exec("MSageCoreUIManager", "captureAudio", ["Hey", 10, 40], onSuccess, onFailure);

需要特别的注意的是,msageJS 的代码并不是以明文文件的方式存储的。它是经过压缩和 Base64 编码后,放置在了广告库二进制代码的数据段。应用程序启动后,再将 msageJS 解码出来,并通过 index.html 来启动 msageJS。之后,msageJS 会发送一个 POST 请求到hxxp://entry.adsage.com/d/,来检查更新。如下图所示,服务器端会响应最新版 msageJS 的相关信息,包括 URL 下载地址.

目前,FireEye 已经在其 Network Security(NX) Mobile Threat Prevention(MTP)产品中内置了探测机制。用户可以直接利用其来势被受影响的应用和网络活动。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-11-15 18:003036
用户头像

发布了 268 篇内容, 共 133.0 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

《Java Web企业项目实战》.pdf

田维常

电子书

直播预告 | 应用加固防破解,4.1折就够了

蚂蚁集团移动开发平台 mPaaS

安全攻防 App风险 mPaaS

DDIA 读书笔记(5)数据分区方案

莫黎

读书笔记

甲方日常 45

句子

工作 随笔杂谈 日常

darknet A版安装

Dreamer

大数据处理黑科技:揭秘PB级数仓GaussDB(DWS) 并行计算技术

华为云开发者联盟

数据库 并行算子 计算

银行数字化转型:需建立起以体验为核心、数据为基础、技术为驱动的架构体系

CECBC

银行 数字经济

「混合云」会是云计算的下一个战场吗?

ToB行业头条

阿里云

阿里云视频云技术专家 LVS 演讲全文:《“云端一体”的智能媒体生产制作演进之路》

阿里云CloudImagine

媒体 音视频

high-performance-tidb-challenge 记录

程序员老王

Week 7 命题作业

阿泰

书写高质量SQL的30条建议

诸葛小猿

MySQL SQL优化

Week 5学习总结

balsamspear

极客大学架构师训练营

聆听无声的话语:手把手教你用ModelArts实现手语识别

华为云开发者联盟

AI 图像识别 手语

Nginx-技术专题-入门教程

码界西柚

深入理解Java虚拟机第三版,通俗易懂,大牛带你轻松搞懂JVM性能调优

Java架构之路

Java 程序员 架构 面试 编程语言

【Knative系列】一文读懂 Knative Serving扩缩容的原理

公众号:云原生Serverless

Serverless knative autoscaler kantive

《Python源码剖析》.pdf

田维常

电子书

天源迪科受邀出席“第四届央企电商化采购发展高峰论坛"

DT极客

【性能优化】纳尼?内存又溢出了?!是时候总结一波了!!

冰河

性能优化 内存泄露 高并发 高性能 内存溢出

Dubbo-go Server端开启服务过程

apache/dubbo-go

dubbo dubbo-go dubbogo

配置企业管理系统,什么样的工作流才有用

雯雯写代码

工作流 企业管理系统

架构师训练营第一期 - week7

习习

在深夜加油站遇见哈利波特

脑极体

区块链+能源 大放异彩

CECBC

区块链 能源

Week 5命题作业

balsamspear

极客大学架构师训练营

央行数字货币为人民币国际化之路提供推动力

CECBC

数字货币

还在为算法烦恼?那你应该还没看过这份Git上70k标星的笔记

Java架构师迁哥

Android 一行代码接入 扫码 生成码

Java android kotlin zxing camera

面试大厂被算法难倒惨遭滑铁卢?这份字节内部大佬整理的《数据结构与算法》学习笔记你一定要看看!

Java架构之路

Java 程序员 架构 面试 编程语言

架构师第一期作业(第 7 周)

Cheer

课程作业

上千苹果App存在后门,移动设备可被完全控制_语言 & 开发_张天雷_InfoQ精选文章