海马

注册

 

发新话题 回复该主题

趋势科技ldquo不越狱装正版r [复制链接]

1#

可能在很多人看来,苹果iOS系统相对严格的应用分发机制一定程度令iPhone安全性得到了保证。只要不越狱,就算用第三方市场——那些市场也不过是起到应用分发导流的作用,安全不会是个问题。

但你可能不知道,国内有个名为海马苹果助手的第三方应用商店,宣传“不越狱,装正版”,实际上这个市场中的不少应用都植入了广告程序。其用户正在不知不觉地为这个应用市场赚钱。

趋势科技(TrendMicro)最近发布了一份有关第三方应用市场,滥用苹果开发者企业项目的报告,这份报告主要点名的就是海马市场。这个市场中,我的世界、PokenmonGo、Terraria、Instagram、QQ等应用都存在问题,这些应用已经感染了超过万苹果用户。如果你在用的话,可要小心了!

重新打包应用再分发

海马市场并非将用户导流到苹果官方的AppStore,而是让用户在AppStore之外安装应用,而且的确是不需要用户越狱的。这是怎么做到的呢?有个叫做应用侧加载(side-loading)的方案,这是苹果专门为企业市场准备的。

苹果为了能够在企业市场有一席之地,尤其是现在流行的BYOD(也就是携带自己的设备办公),iOS系统是允许企业用户安装企业内部应用的,这些应用不需要经过AppStore的审核。海马苹果助手就是利用企业应用分发,伪装成企业让用户安装市场中的应用的。

值得一提的是,iOS9这方面的信任机制是有提升的,其中包括采用分层认证过程——所以用户在安装这类企业部署的应用时会有各种提示。而且苹果会撤销那些采用欺骗方式获得的企业证书,这也能一定程度阻止了第三方恶意应用在iOS系统中的部署。

不过海马苹果助手频繁地更换企业证书,保证这些恶意应用可用。趋势科技在报告中提到,海马在短短半个月的时间里,就换了5个不同的证书。这些证书都是从合法企业盗取的,一般在地下黑市出售——这类证书的价格大约在美元左右。这点小开销相比海马市场从包含广告的应用中赚的钱,实在是很少一部分。

另一方面,虽然在iOS9系统中,侧加载应用部署过程中一路会给用户各种安全警告,但用户一般根本就不会在意这些警告,或者连警告内容都是完全忽略的。于是万用户被这类重新打包进了广告程序的应用感染,也就不足为奇了。

感染后有何影响?

海马市场中有2款修改版的《PokemonGo》游戏,下载量已经超过万次。其中一个版本中包含注入虚假GPS地理位置数据的payload,这样就能绕过PokemonGo本身的地理位置限制了;另一个版本中则包含了会消耗用户流量的动态库(addylib),并且通过广告程序暴露用户个人数据。

海马市场中包含相同动态库的应用有下面这些:

其中的《我的世界:口袋版》安装用户数量已经达到了万;Terraria应用也已经有超过万次的装机量。

JSON文件请求CC服务器部分代码

篡改版PokemonGo应用推百度广告的代码

这些应用嵌入来自广告提供商的模块,比如Inmobi、Mobvista、Adsailer、Chance、点入和百度等。相关的JSON文件中有获取数据的URL

分享 转发
TOP
发新话题 回复该主题