iBackDoor:疑似后門,影響iOS應用的高風險代碼
近期,FireEye的移動安全研究人員發現了嵌入到iOS應用中的疑似“后門”行為的mobiSage廣告庫,并且這些應用都是由App Store發布的。研究人員將該潛在的后門稱為iBackDoor,允許黑客訪問敏感的用戶數據和設備功能。
iBackDoor可以被遠程服務器的JavaScript代碼控制,在iOS設備上執行以下操作:
1、錄音和截屏 2、監控和上傳位置信息 3、讀取/刪除/創建/修改app數據文件 4、讀寫/重置app的鑰匙鏈 5、發送加密數據到服務器 6、利用URL schemes打開其他app或者網頁 7、安裝企業應用
研究發現17個mobiSage SDK版本(5.3.3版本至6.4.4版本)中存在該后門,而最新發布的mobiSage SDK 7.0.5版本則不受該后門影響。尚不清楚iBackDoor是存在于mobiSage SDK本身,還是由第三方創建。
截止目前,已經發現2,846款iOS應用受到影響,檢測到900次使用JavaScript代碼控制后門的嘗試。幸運的是,目前還沒有發現廣告服務器發送任何惡意的命令(例如錄音或竊取敏感數據)。
技術細節
mobiSage庫中包含兩個密鑰組件msageCore和msageJS,分別在Objective-C和JavaScript中實現。 msageCore用于實現后門的基本功能并通過WebView向惡意的JavaScript暴露接口;msageJS用于提供高級執行邏輯,并通過調用 msageCore暴露的接口觸發潛在的后門。
圖一 mobiSage庫的密鑰組件msageCore和msageJS
msageCore
msageCore通過將命令和參數發送到Objective-C類來執行這些命令。在其中的MSageCoreUIManagerPlugin類中,的確存在各種控制功能。其中包括非常高危的獲取錄音、截屏功能以及讀取修改字符串的函數。
圖二 msageCore使用的類和接口
iBackDoor后門通過以上的接口暴露了多個關鍵功能,其中包括錄音和截屏、識別并啟動設備上的其他應用、獲取位置信息和讀寫文件等。另外,這些接口收集的數據會被加密并上傳到遠程服務器。
廣告庫中潛在的后門還可以在目標設備中安裝enpublic應用,它通過使用私有API增加iOS設備的安全風險,惡意操作有后臺監控短信和電話、破壞沙箱保護機制、竊取電子郵件和破壞任意應用安裝。
msageJS
msageJS中包含與遠程服務器通信的JavaScript代碼并向msageCore提交命令。sdkjs.js文件中包含封裝類adsage,并且負責存放用于命令執行的JavaScript接口。
圖三 msageJS中的文件結構
一般情況下,單純列出受影響應用的IPA是不能發現包含msageJS的文件的。這類文件都是經過壓縮和編碼的,當受影響應用程序啟動 時,msageCore會首先解碼并提取msageJS,然后再執行一系列惡意操作。并且msageJS會不斷向 hxxp://entry.adsage.com/d/發送POST請求檢查更新,以保持最新版本。
總結
雖然iBackDoor還尚未造成惡劣的影響,但是仍應該引起蘋果iOS用戶的注意,用戶可以使用安全軟件檢測自己的設備上是否安裝了受影響的應 用程序,盡量不要越獄或從第三方渠道下載應用,要從官網的Apple Store下載應用程序,并及時根據提示對設備中的應用進行更新。
參考
https://www.fireeye.com/blog/threat-research/2015/08/ios_masque_attackwe.html
http://drops.wooyun.org/papers/10209?utm_source=tuicool&utm_medium=referral
*原文鏈接: FireEye 編譯/洛竹渲,內容有所修改,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)