11月11日,360发布关于近期肆虐iPhone的WireLurker和Masque Attack(假面攻击)两大漏洞的专项研究报告。报告显示,Masque Attack通过安装恶意程序、盗取用户隐私等行为进行恶意攻击。同不久前泛滥的WireLurker一样,目前Masque Attack已被证实在越狱和非越狱的iOS设备上均能产生影响,从iOS7.1.1至8.1.1 beta最新版,基本覆盖目前所有主流iOS版本。
图:360报告显示 被替换后的社交APP可变为某银行软件
360报告称,Masque Attack通过使用相同的bundle ID替换手机上已从AppStore下载安装的应用程序,替换后的APP可以获取该应用程序的用户敏感数据,甚至能够实现对系统进行攻击。
报告中还重现Masque Attack的攻击过程:读取某社交APP的bundle ID,通过解压分析原有APP进行替换,在对企业账户重新签名封装打包后可直接执行对原有APP文件的替换,在安装完成后发现,原有的社交APP已彻底变成某银行应用。“假面攻击”就是这样,利用虚假安装包替换原有正版APP进行恶意攻击。
此外,通过诱导用户替换AppStore下载的应用程序,被改动后的程序可以获取用户登录APP的账户及密码,如邮箱、银行的账户密码都会被窃取。而APP的配置信息、缓存文件等隐私信息也全部暴露。并且,它会绕过sandbox的保护对系统进行攻击,危害显而易见。
除了攻击手段极为隐蔽外,目前Masque Attack攻击范围也十分广泛,该漏洞已被证实在越狱和非越狱的iOS7.1.1、7.1.2、8.0以及8.1.1beta版本下均受影响,基本可以通杀所有iOS版本。
360手机安全专家分析,Masque Attack可通过USB连接和无线网络安装虚假APP。通过USB使PC与手机相连,在非越狱的情况下将替换现有APP安装到手机中,而在无线网络环境下则能通过在短信、iMessage、邮件中附带连接的方式诱导用户安装替换原有APP,并且这种方式受众更广传播更快。
报告中360手机安全专家提醒用户,不要安装非苹果AppStore或第三方用户开发的应用程序,不要随意点击短信、iMessage、邮件弹出的网址链接,如果安装程序显示“不受信任的应用程序开发”更需谨慎安装。此外,还可使用360手机卫士专业版查杀近期几款针对iOS的漏洞,谨防个人隐私数据被窃。
Masque Attack(假面攻击)之详细分析与利用技术研究报告:
http://bobao.360.cn/learning/detail/90.html