导语:思科Talos团队曾经发过两篇文章,都是关于恶意移动设备管理平台如何将伪装的应用程序加载到智能手机上的,我们对攻击者的方法有了更深入的了解。本文将为大家解析攻击者如何使用常见的MDM功能对iOS设备发起攻击的。

思科Talos团队曾经发过两篇文章(1,2),都是关于恶意移动设备管理(mobile device management,MDM)平台如何将伪装的应用程序加载到智能手机上的,我们对攻击者的方法有了更深入的了解。

在这样的攻击者中,攻击者将iOS设备注册到MDM中,并使用这些设备来控制受害者的设备,他们会将通过伪装的WhatsApp,Telegram和Imo,以及Web浏览器Safari来完成攻击。

在读了这篇文章后,我们就会清楚的知道攻击者如何利用常见的MDM功能,并使用iOS配置文件隐藏和禁用应用程序的合法版本,以伪装的恶意版本替换合法的版本。

经过进一步研究后,研究人员还发现了攻击者会在注册设备上部署配置文件时,滥用iOS设备上存在的年龄分级限制功能,并根据此分级部署相应的恶意应用程序。WhatsApp和Telegram的年龄分别为12岁和17岁以上。如果将年龄分级限制设置为9岁以上后,则已安装的合法应用程序将自动在该设备中消失。

虽然此时,这些应用程序仍然存在于该设备上,但如果用户使用iOS设备上的搜索功能搜索这些应用程序,那用户也无法与其进行交互,因为它根本无法打开。

所有移动设备用户都应该了解这些攻击方法,以防止攻击者通过MDM控制他们的手机。在下面的说明中,我们将教你逐步检查你的手机是否有未经授权的MDM,以及年龄设置是否被人动过手脚。

有关配置文件设置的细节信息

在iOS生态系统中,你可以使用配置文件配置设备。这是一个可以发送到iOS设备的XML文件,例如,使用配置文件执行MDM注册机制。可以使用官方工具Apple Configurator 2轻松创建配置文件。利用这些配置文件,我们可以限制应用程序使用。

此时应用限制仅限于受监管的设备,在研究人员的调查中,已注册的iPhone不在监督模式中,但合法的WhatsApp应用程序消失,这只能迫使用户访问恶意版本的应用,且攻击者使用限制设置来禁止用户使用9岁及以上的应用程序。

以下是恶意MDM上托管的配置文件的XML内容:

<key>ratingApps</key>
<integer>200</integer>
<key>ratingMovies</key>
<integer>1000</integer>
<key>ratingRegion</key>
<string>us</string>
<key>ratingTVShows</key>
<integer>1000</integer>

其中,数字200就相当于是9岁的年龄。

在iOS设备上安装此配置文件后,虽然受年龄等级限制的应用程序将继续显示为安装的状态,但无法再使用或访问,并且图标将从用户界面中消失。如果查看应用商店,你可以看到应用程序仍然显示的是安装状态,但用户却无法启动它。这可以通过控制设备上的限制设置完成。

此时,我们可以看到限制显示为“禁用”,这就是文本为灰色的原因。但实际上,它已启用。

如果通过手动安装配置文件,或通过Safari打开配置文件XML,那么在设置>常规>配置文件菜单中,就会显示一个新条目。如果MDM部署配置文件,因为MDM注册配置文件会出现,则这个新条目就不会显示出来。

如何检查IPHONE配置文件

在下面的视频中,研究人员将向你展示攻击者如何通过注册恶意MDM平台来获取对手机的访问权限。仔细看视频,你会注意到其中涉及到相当多的用户交互。但是,如果攻击者可以通过电话正确的对用户进行社交工程,或者他们可以对设备进行物理访问,则可以快速有效的进行注册。

先看这个视频,该视频从终端用户的角度向我们展示了注册过程,研究人员是在运行Apple最新的11.4.1 iOS的iPhone X上进行了这项测试,这是一款全新的iOS系统iPhone X,使用的测试电话没有以任何方式进行过越狱或篡改。

正如你在视频中看到的那样,用户已接受两个INSTALL / TRUST流程,以允许手机注册。一旦研究人员成功将手机注册到恶意MDM中,他们就可以将配置文件和应用程序传播到设备上。为了达到这个目的,研究人员推出了一款设定了年龄限制的应用程序,如上所示,这意味着已安装的合法WhatsApp应用程序消失了,并且通过已注册的MDM访问,就可以启动WhatsApp的恶意版本。

需要说明的是,在MDM中不存在用于注册手机的恶意软件、漏洞。MDM是一种合法的设备管理方法,全世界的企业都在使用,攻击者只是利用了这个设备管理方法而已。

Talos建议用户使用以下方法检查手机是否具有其他配置文件或是否已在MDM平台中注册:

1.用户可以在设置>常规>配置文件和设备管理> [MDM配置]>限制中查看MDM配置文件设置的限制;

2.用户还可以在设置>常规>配置文件和设备管理> [MDM配置]>应用程序中检查其设备上安装的MDM配置文件;

注意:如果你的设备上没有可用的配置文件和设备管理菜单选项,则表示手机当前未注册MDM,手机上也没有任何其他配置文件可信任。

如果可能,建议你看一下此视频

总结

一提到自己的手机被攻击了,大多数用户通常会认为他们需要下载补丁来修复漏洞。但是,有些攻击并不是利用的漏洞。相反,攻击者使用的是现有的合法功能,以隐藏受害者的合法应用程序,趁机部署恶意应用。

MDM可以在用户不知情的情况下,部署配置文件。因此,强烈建议审核iPhone配置文件并删除可疑配置文件。此外,你可以查看手机上的限制菜单,以验证是否配置了应用程序的年龄限制。

源链接

Hacking more

...