跳至主要内容

Hacking Team不需越狱即可监控iOS用户

原文来自乌云,备份地址

0x00 简介

近日总部位于意大利的监控软件开发公司HackingTeam被黑,415GB文件被泄露,HackingTeam泄漏的数据至少涉及多个针对Android 4.4以下版本的远程代码执行和提权漏洞、多个针对Java、Word的浏览器沙箱逃逸漏洞的完整攻击代码(exploit)以及MacOS X、iOS、Android、WP8等系统的恶意软件代码,里面有Flash 0day, Windows字体0day, iOS enterprise backdoor app, Android selinux exploit, WP8 trojan,更为严重的是,Hacking Team 的终极远控系统RCS,能够感染包括云平台在内的几乎所有平台或介质,实现了全平台的RSC系统(包括windows phone)。
在HackingTeam泄漏的文件,我们发现了有针对IOS进行监控的代码,一旦用户点击运行,就会请求获取一些数据的访问权限并追踪用户的位置,日历和联系人。在这个过程中,手机不需要越狱即可实现。

0x01 监控行为分析

相关代码在\core-ios-master.zip\core-ios-master\ios-newsstand-app\newsstand-app文件夹下,通览全部源码之后,我们发现,监控的实现,主要是通过在目标设备上安装一个报刊杂志应用,该应用安装后显示为一个空白应用,也没有图标。起代码文件如下所示:
enter image description here
首先查看一下应用的信息文件info.plist,通过该文件知道该应用为一个报刊杂志类(NewsstandApp)应用,并指定了应用的显示风格和图标,部分信息如下所示:
enter image description here
然后看程序入口模块Main.m,Main函数直接调用了AppDelegate类模块启动应用。
enter image description here
AppDelegate模块主要功能是任务的派发以及后台刷新。包括后台获取访问权限,不断刷新获取用户日历,联系人以及照片任务,键盘任务等。
enter image description here
同时该模块调用接口ViewController创建了一个nil类型的gMainView,当view需要被展示而它却是nil时,viewController会调用该方法
enter image description here
该方法中实现了获取用户信息的主要功能,其功能模块为ViewConroller.m,该应用被加载后开始获取日历,联系人,GPS位置信息以及用户的照片。启动代码如下所示:
enter image description here
所有获取到的信息都会通过RCS系统发送到远程服务器,其RCS模块以RCS开头,传输过程中采用一系列的加密方式,加密模块主要为以NS开头的模块,起后边跟上其加密方式,剩下的还有键盘的实现模块和网络传输模块,如下所示:
enter image description here

0x02 实测行为

将程序编译,然后在手机上运行。安装过后,会创建报刊杂志隐藏应用,长按应用即可显示出来,在设置的应用列表中也可以看到,如下图所示:
enter image description hereenter image description hereenter image description here
点击该应用后,其所有的监控服务就会启动起来,越狱用户是没有任何提示直接启动,而非越狱用户需要添加信任,如下图所示:
enter image description here
但是该黑客团队拥有企业证书,因此它可以通过类似于网络链接的方式引导用户下载安装而不被察觉。
服务一旦启动起来,应用开始请求他所有想获取的数据权限,如下图所示:
enter image description hereenter image description hereenter image description here
同时该应用增加了一个新的键盘,键盘界面和原生的IOS内置键盘相同,因此被攻击用户会在没有察觉的情况下将他们所有的输入信息发送到远程服务器上。键盘如下所示:
enter image description hereenter image description here
需要注意的是,苹果公司针对第三方键盘做了一些保护措施,他不允许第三方键盘运行在具有密码标记的区域,因此该工具并不能够从应用程序和网站中窃取用户的输入密码,但它可以窃取用户名,电子邮件等其他敏感信息。

0x03 感染途径

苹果公司做了大量的工作去保护了非越狱用户远离恶意软件,公共报道的也是监控软件只能去感染越狱的IOS设备,看似非越狱用户是安全的。
Hacking Team拥有苹果的企业证书,而企业证书是由苹果公司发布给企业,并且允许企业不经过appstore审核直接将自己的应用发布到自己的网站上。其他人可以直接下载不用设备授权即可直接安装,并且不限设备上限,因此使得该证书签名的任何应用,不论目标IOS设备是否越狱,都可以安装上。并且该监控工具是一个隐藏的报刊应用,因此可以分发到任何一台IOS设备上。但是苹果公司对此也做了一些安全警告,需要未越狱用户点击信任才可安装,但是从企业网站上下载的应用,用户一般都会忽略掉。
另外还可以通过捆绑越狱工具直接安装到用户手机中,或者通过点击一些下载链接,email等也可以安装在用户设备中。

0x04 总结

苹果公司做了大量的工作去保护了非越狱用户远离恶意软件,公共报道的也是监控软件只能去感染越狱的IOS设备,看似非越狱用户是安全的。而Hacking Team企业证书的滥用导致监控工具恶意传播,对非越狱用户也造成了极大的危害,而苹果公司也在前不久吊销了该团队的企业证书,但是潜在的威胁依然存在,用户在平时下载第三方应用时候也要多注意程序的来源是否可信。
确认自己手机是安装远程监控可通过如下方法查看:
1.检测应用中是否具有空名称的应用程序
2.设置->通用->键盘查看是否有名为app.keyboard的第三方键盘
一些安全建议:
1.添加手机密码。很多间谍软件安全都需要物理接触,添加密码使得它们的攻击更艰难。
2.不要下载来自第三方市场或者链接的应用。
3.尽量不要越狱手机,如果不清楚请求权限的软件是什么,不要添加信任
4.下载安全程序,定期扫描手机系统,如cm security等。
标签:

Popular posts from 产品随想的博客

Interview with Steve Jobs, WGBH, 1990

Interviewer: what is it about this machine? Why is this machine so interesting? Why has it been so influential? Jobs: Ah ahm, I'll give you my point of view on it. I remember reading a magazine article a long time ago ah when I was ah twelve years ago maybe, in I think it was Scientific American . I'm not sure. And the article ahm proposed to measure the efficiency of locomotion for ah lots of species on planet earth to see which species was the most efficient at getting from point A to point B. Ah and they measured the kilocalories that each one expended. So ah they ranked them all and I remember that ahm...ah the Condor, Condor was the most efficient at [CLEARS THROAT] getting from point A to point B. And humankind, the crown of creation came in with a rather unimpressive showing about a third of the way down...
阅读全文

《逢いたくていま》──仁医主题曲

原始链接: 听歌学日语 | 唱哭很多人的《逢いたくていま》 あ いたくていま - MISIA 现在好想见你- MISIA 初 はじ めて 出会 であ った 日 ひ のこと  覚 おぼ えてますか 第一次相遇的那天 你是不是还记得呢?   過 す ぎ 行 ゆ く 日 ひ の 思 おも い 出 で を  忘 わす れずにいて 那些过去日子的回忆 我一直没有有忘记   あなたが 見 み つめた  全 すべ てを  感 かん じていたくて 凝视着你 这一切的全部 我都想要感觉   空 そら を 見上 みあ げた 抬头仰望天空   今 いま はそこで  私 わたし を  見守 みまも っているの? 你到现在是否还在那里守护着我?   教 おし えて… 请你告诉我 今 いま   逢 あ いたいあなたに 现在好想见你 伝 つた えたい 事 こと がたくさんある 有好多想要告訴你的事情   ねえ  逢 あ いたい  逢 あ いたい 呐 好想见你 好想见你   気 き づけば  面影 おもかげ   探 さが して  悲 かな しくて 如果能注意到的话 你的面容 是在寻找着 还是悲伤着 どこにいるの?  抱 だ きしめてよ 到底在哪里呢? 好想抱紧你 私 わたし はここにいるよ ずっと 我 会一直在这里 一直等你 もう 二度 にど と 逢 あ えないことを  知 し っていたなら 如果能早点知道 已经再也无法相见   繋 つな いだ 手 て をいつまでも  離 はな さずにいた 我会牵在一起的手 永远都不会放开   『ここにいて』と そう 素直 すなお に  泣 な いていたなら 如果当初诚实哭泣地告诉你『留在我身边』的话   今 いま もあなたは  変 か わらぬまま 现在的你是否也依然不变地   私 わたし の 隣 とな りで ...
阅读全文

Bob Dylan – Facts. NobelPrize.org

  When I first received this Nobel Prize for Literature, I got to wondering exactly how my songs related to literature. I wanted to reflect on it and see where the connection was. I’m going to try to articulate that to you. And most likely it will go in a roundabout way, but I hope what I say will be worthwhile and purposeful. If I was to go back to the dawning of it all, I guess I’d have to start with Buddy Holly. Buddy died when I was about eighteen and he was twenty-two. From the moment I first heard him, I felt akin. I felt related, like he was an older brother. I even thought I resembled him. Buddy played the music that I loved – the music I grew up on: country western, rock ‘n’ roll, and rhythm and blues. Three separate strands of music that he intertwined and infused into one genre. One brand. And Buddy wrote songs – songs that had beautiful melodies and imaginative verses. And he sang great – sang in more than a few voices. He was the archetype. Everything I w...
阅读全文

产品随想 | 周刊 第101期:木叶飞舞之处,火亦生生不息

How to Install Fonts on Linux: A Comprehensive Guide   https://linuxiac.com/how-to-install-fonts-on-linux/ 在伊丽莎白一世的时代的英国,如果人们想要盗版剧本,就会派一个速写很快的人去看剧,那个人就会偷偷用速写把剧中所有的台词都记录下来。然后根据这些台词,几个看过这部戏剧会一起把这部戏剧中发生的一切都誊写下来。这种盗版剧本是很多戏剧现今存下来的唯一记录。 看到一个大爷总结普通人的一生:盛世之牛马,乱世之炮灰。 在现代晚期之前,总人口有九成以上都是农民,日出而作、胼手胝足。他们生产出来的多余食粮养活了一小撮的精英分子:国王、官员、战士、牧师、艺术家和思想家,但历史写的几乎全是这些人的故事。于是,历史只告诉了我们极少数的人在做些什么,而其他绝大多数人的生活就是不停挑水耕田。 模拟时代的黑胶与磁带   https://sspai.com/post/81162 黑胶与磁带来承载声音,手机照片来承载画面,视频来承载动态影像 一家店需要怎样的 BGM   https://mp.weixin.qq.com/s/F_CluKDRSswDeSMIxKWRFA 我们喜爱音乐,是因为音乐里,能体现出心意 ONE REVOLUTION PER MINUTE - a short film by Erik Wernquist   https://www.youtube.com/watch?v=iiPmgW21rwY 他有人生最可宝贵的一个德性:一种永久新鲜的好奇心,不会给时间冲淡而是与日俱增的。他没有相当的才具来利用这天赋,但多少有才具的人会羡慕他这种天赋!大半的人在二十岁或三十岁上就死了:一过这个年龄,他们只变了自己的影子;以后的生命不过是用来模仿自己,把以前真正有人味儿的时代所说的,所做的,所想的,所喜欢的,一天天的重复,而且重复的方式越来越机械,越来越脱腔走板。 ——《约翰.克里斯多朵夫》 【张一鸣】:《活法》、《少有人做的路》、《高效人士的七个习惯》、《基础生物学》对我影响比较大。 Consumer Electronics Hall of Fame   https://spectrum.ieee.org/special-reports/...
阅读全文

SU小技巧——秒出90°轴测图

 原文首发于角落工作室公众号,转载于 建筑学院 ,在此表示感谢 轴测图在分析图的使用中非常有用,尤其是90°的轴测图,可以和旋转过的平面图完美契合,非常适合用于分析图的制作。 那么如何设置才能导出90°的轴测图呢? 先来看看最终效果图 我们都知道SU中可以通过设置“相机”—“平行投影”来取消透视,但是无法设置轴测角度,通过下面教程的设置,可以交给大家如何设置90°轴测图。 模型原图, ↑画一个正方形 ↑把这个正方形做成群组 ↑旋转45°,在平面模式 ↑然后给这个正方形一个厚度,厚度多少随意。 ↑然后以侧面的下脚点为轴,向上旋转45°。听起来很复杂,看图很明白 然后在“相机”里选“平行投影” ↑进入我们制作的长方体里,右键单击最上面的面,选择对齐视图。 ↑我们就得到了这个45-90-45的轴测图,删掉之前做的辅助立方体,我们还有一步工作要做。 ↑拖进PS,选择“图像”—“图像大小” 解锁掉宽度和高度中间的小拉锁,然后把高度乘以1.41 比如我这张图是669,就改成964,为什么要乘以1.41,因为是1:根号2的关系。呃,具体关系大家自行脑补。 ↑这样就OK了。 利用轴测图,我们可以进行分析图及复古风格图的PS,这就是下次的教程内容了,先贴一个预告图片
阅读全文

子网掩码和网关

零碎知识点 网关地址是具有路由功能的设备的IP地址 CIDR=IP + mask  是CIDR另一种表现形式 mask在计算中表示按位与的操作数,用来表示从目标中取出特定的二进制位 ARP表 路由表 理解子网掩码 59.78.40.110 59.78.40.126 255.255.255.128 59.78.39.162 59.78.39.254 255.255.255.0 59.78.42.41 59.78.42.254 255.255.255.0 协议作用 TCP/IP检测作用在2,3,4,7层 作用在1,2层:以太网,无线LAN,PPP...... 作用在3层:ARP, IPv4, IPv6, ICMP, IPsec 作用在4层:TCP,UDP,UDP-Lite,SCTP,DCCP 作用在5,6,7层:TELNET,SSH,HTTP,SMTP,POP,SSL/TLS,FTP,MIME,HTML,SNMP,MIB,SIP,RTP......
阅读全文