趋势科技:“不越狱 装正版”?海马应用市场的广告程序已感染超7500万ios用户-k8凯发天生赢家

趋势科技:“不越狱 装正版”?海马应用市场的广告程序已感染超7500万ios用户
作者:freebuf.com 发布时间:2016-09-15

可能在很多人看来,苹果ios系统相对严格的应用分发机制一定程度令iphone安全性得到了保证。只要不越狱,就算用第三方市场——那些市场也不过是起到应用分发导流的作用,安全不会是个问题。

但你可能不知道,国内有个名为海马苹果助手的第三方应用商店,宣传“不越狱,装正版”,实际上这个市场中的不少应用都植入了广告程序。其用户正在不知不觉地为这个应用市场赚钱。

趋势科技(trend micro)最近发布了一份有关第三方应用市场,滥用苹果开发者企业项目的报告,这份报告主要点名的就是海马市场。这个市场中,我的世界、pokenmon go、terraria、instagram、qq等应用都存在问题,这些应用已经感染了超过7500万苹果用户。如果你在用的话,可要小心了!

重新打包应用再分发

海马市场并非将用户导流到苹果官方的app store,而是让用户在app store之外安装应用,而且的确是不需要用户越狱的。这是怎么做到的呢?有个叫做应用侧加载(side-loading)的方案,这是苹果专门为企业市场准备的。

苹果为了能够在企业市场有一席之地,尤其是现在流行的byod(也就是携带自己的设备办公),ios系统是允许企业用户安装企业内部应用的,这些应用不需要经过app store的审核。海马苹果助手就是利用企业应用分发,伪装成企业让用户安装市场中的应用的。

值得一提的是,ios 9这方面的信任机制是有提升的,其中包括采用分层认证过程——所以用户在安装这类企业部署的应用时会有各种提示。而且苹果会撤销那些采用欺骗方式获得的企业证书,这也能一定程度阻止了第三方恶意应用在ios系统中的部署。

不过海马苹果助手频繁地更换企业证书,保证这些恶意应用可用。趋势科技在报告中提到,海马在短短半个月的时间里,就换了5个不同的证书。这些证书都是从合法企业盗取的,一般在地下黑市出售——这类证书的价格大约在300美元左右。这点小开销相比海马市场从包含广告的应用中赚的钱,实在是很少一部分。

另一方面,虽然在ios 9系统中,侧加载应用部署过程中一路会给用户各种安全警告,但用户一般根本就不会在意这些警告,或者连警告内容都是完全忽略的。于是7800万用户被这类重新打包进了广告程序的应用感染,也就不足为奇了。

感染后有何影响?

海马市场中有2款修改版的《pokemon go》游戏,下载量已经超过100万次。其中一个版本中包含注入虚假gps地理位置数据的payload,这样就能绕过pokemon go本身的地理位置限制了;另一个版本中则包含了会消耗用户流量的动态库(ad dylib),并且通过广告程序暴露用户个人数据。

海马市场中包含相同动态库的应用有下面这些:

20160915-3.png

其中的《我的世界:口袋版》安装用户数量已经达到了6887万;terraria应用也已经有超过600万次的装机量。

这些应用嵌入来自广告提供商的模块,比如inmobi、mobvista、adsailer、chance、点入和百度等。相关的json文件中有获取数据的url地址:hxxp://spa[.]hadobi[.]com/app。像海马市场重新打包的pokemon go应用中,就有采用c&c通讯的多个组件,指定广告提供商显示广告的类型等。另外里面也有广告提供商的标识,这是广告提供商支付费用所需的。动态库确认要显示的广告后,相应的广告模块就会请求api url,然后从其ip地址拉取广告。

除此之外,趋势科技的分析还显示:这些应用为了让广告投放更加准确,会收集设备和网络信息,包括imsi和imei码,还有设备的越狱状态、设备名、ip地址等,信息都会发往c&c服务器。

实际上除了海马市场之外,还有一些第三方苹果市场也在做类似的事情,比如说越南的histore市场。而防范手段依旧是老三样,不要轻易下载来自不受信任的第三方市场的应用,尤其是那些部署非官方渠道应用的市场,其中的应用很可能被篡改过。应用开发者也可以部署一些机制,防止自己的应用被轻易篡改,比如代码混淆,客户端代码签名验证等。


网站地图