11月11日,360發布關于近期肆虐iPhone的WireLurker和Masque Attack(假面攻擊)兩大漏洞的專項研究報告。報告顯示,Masque Attack通過安裝惡意程序、盜取用戶隱私等行為進行惡意攻擊。同不久前泛濫的WireLurker一樣,目前Masque Attack已被證實在越獄和非越獄的iOS設備上均能產生影響,從iOS7.1.1至8.1.1 beta最新版,基本覆蓋目前所有主流iOS版本。
圖:360報告顯示 被替換后的社交APP可變為某銀行軟件
360報告稱,Masque Attack通過使用相同的bundle ID替換手機上已從AppStore下載安裝的應用程序,替換后的APP可以獲取該應用程序的用戶敏感數據,甚至能夠實現對系統進行攻擊。
報告中還重現Masque Attack的攻擊過程:讀取某社交APP的bundle ID,通過解壓分析原有APP進行替換,在對企業賬戶重新簽名封裝打包后可直接執行對原有APP文件的替換,在安裝完成后發現,原有的社交APP已徹底變成某銀行應用。“假面攻擊”就是這樣,利用虛假安裝包替換原有正版APP進行惡意攻擊。
此外,通過誘導用戶替換AppStore下載的應用程序,被改動后的程序可以獲取用戶登錄APP的賬戶及密碼,如郵箱、銀行的賬戶密碼都會被竊取。而APP的配置信息、緩存文件等隱私信息也全部暴露。并且,它會繞過sandbox的保護對系統進行攻擊,危害顯而易見。
除了攻擊手段極為隱蔽外,目前Masque Attack攻擊范圍也十分廣泛,該漏洞已被證實在越獄和非越獄的iOS7.1.1、7.1.2、8.0以及8.1.1beta版本下均受影響,基本可以通殺所有iOS版本。
360手機安全專家分析,Masque Attack可通過USB連接和無線網絡安裝虛假APP。通過USB使PC與手機相連,在非越獄的情況下將替換現有APP安裝到手機中,而在無線網絡環境下則能通過在短信、iMessage、郵件中附帶連接的方式誘導用戶安裝替換原有APP,并且這種方式受眾更廣傳播更快。
報告中360手機安全專家提醒用戶,不要安裝非蘋果AppStore或第三方用戶開發的應用程序,不要隨意點擊短信、iMessage、郵件彈出的網址鏈接,如果安裝程序顯示“不受信任的應用程序開發”更需謹慎安裝。此外,還可使用360手機衛士專業版查殺近期幾款針對iOS的漏洞,謹防個人隱私數據被竊。
(新聞稿 2014-11-15)