iDevice安全再出包,iOS 9不需密碼就能窺探私人照片與通訊錄

iDevice安全再出包,iOS 9不需密碼就能窺探私人照片與通訊錄

日前iOS才爆出XcodeGhost的安全性問題,讓使用者可能會因為從App Store下載到遭受感染的App,並讓裝置名稱、UUID識別碼、網絡設定、系統語言設定的等個人資料遭竊。而如今最新版本的iOS 9又被指出有方法能繞過密碼保護,讓攻擊者能直接存取受害裝置上的私人照片與通訊錄。

iOS也是問題重重

與較為開放的Android系統相比,封閉性較高的iOS有著相對優良的安全性,即便如此,iOS在過往還是遭遇到許多安全性的考驗,例如筆者先前曾經介紹過的SSL安全漏洞Xsser mRAT惡意程式,以及可以讓置持續不斷當機的No iOS Zone攻擊,都是iOS曾經遇過的資安問題。

而日前許多官方App Store中的App遭受XcodeGhost大規模感染,也讓Apple顏面無光,雖然這起事件的起因為App開發者使用被動過手腳的開發工具,以至於App被植入惡意程式碼,不過對於以嚴格審查App出名的Apple來說,還是難辭其咎。

而這次Apple所引發的問題,是搭載iOS 9的iPhone、iPad、iPodTouch等iDecive裝置的Passcode密碼。一般來說Passcode是iDecive的第一道防線,可以阻止外人操作iDecive或是存取其中的資料。但是在最新版本的iOS 9上,無論使用者是單純使用Passcode密碼,還是一併使用Passcode密碼與Touch ID指紋加密功能,攻擊者都能在30秒內破解加密,存取私人照片與通訊錄等資料。

iDevice安全再出包,iOS 9不需密碼就能窺探私人照片與通訊錄

▲XcodeGhost的起因為有許多中國的App開發者,並非透過Apple官方管道取得App開發工具,而下載使用被動過手腳的工具,導致App被植入惡意程式碼。

iDevice安全再出包,iOS 9不需密碼就能窺探私人照片與通訊錄

▲受感染的App以中國產品為主,連微信等大廠也中標。

30秒破解保護

資安公司Zerodiumb日前宣布舉行獎金高達美金100萬元(約合新台幣3,300萬元)的懸賞活動吸引獎金獵人,並在說明往頁中提到在多次系統升級與安全性補強之後,iOS可以說是目前最安全的行動裝置作業系統,但是安全不代表無堅不摧,等於無法被破解,只是破解的成本相當高,所以該公司才會提出獎金如此高的懸賞活動。

事隔1天,就有駭客發表了能夠簡單繞過iOS 9加密的方式,其操作流程為:

1. 喚醒裝置,並輸入4次錯誤的Passcode密碼。

2. 第5次輸入時,只輸入3位數(如果使用4位數密碼)或5位數(如果使用6位數密碼),並按住Home鍵,在啟動Siri的瞬間輸入最後一位數。

3. 詢問Siri時間。

4. 點擊時鐘圖示並開啟時鐘App,並在世界時鐘中加入新地區(叫出文字輸入對話框)。

5. 雙擊寫入的文字,叫出文字選單,並選擇分享。

6. 點擊訊息圖示,並隨意輸入收件人名字,點擊出現的名字,就可以看到通訊錄資訊。

7. 如果點選建立新聯絡資訊,並依序點擊增加照片、選擇照片,則可以自由瀏覽手機中的照片。

雖然這個破解手法無法從遠端操作,和Zerodiumb的懸賞條件不同,所以無法贏得高額獎金,但是對使用者來說仍是資安威脅。在Apple推出更新檔修正這個漏洞之前,使用者可以先到設定的密碼與Touch ID選單中,關閉在鎖定畫面中使用Siri功能,暫時迴避這個問題。

▲在破解手法的展示影片中,可以看到這個破解手法相當簡單,遭受攻擊裝置中的照片、通訊錄等資料可能會被看光光。

延伸閱讀:

微信躺著也中槍,iOS 版本遭植入木馬

Apple出包,你的SSL加密是否安全?SSL原理解析,從密碼學看加密技術的安全性

iOS 8被發現重大漏洞,在路由器動手腳就能造成iPhone、iPad無限重開機崩潰

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
ulyssesric
1人給推

2.  ulyssesric (發表於 2015年9月24日 17:23)
XcodeGhost 植入的程式碼基本上都是「正常」程式碼,那些程式碼依舊在 Apple 重重限制之下,既沒辦法破解任何東西,也沒辦法繞過使用者許可。Apple 對 App 跨行程取得資訊的限制之多,完全就是歇斯底里的控制狂。App 私底下能夠取得的,基本上全都是沒用的匿名資訊,除非你 JB。

而且 App 本來就是要網路連線,本來就是要取得資訊後傳。幾乎所有和網路有關的 App 都在做相同的事,甚至你現在用瀏覽器開這個網頁,上面的 Tracking Script 一樣也是在做做類似的事。唯一的差別,就是開發者自己都不曉得自己的 App 有這些「功能」。

既然植入程式碼沒有違反任何規則,所有動作又和「正常」的 App 沒啥兩樣,在這種情況下,Apple 又如何能夠「預先把關」?發給每個審查員一顆水晶球?還是送他們去超能力訓練班?
ulyssesric
1人給推

3.  ulyssesric (發表於 2015年9月24日 17:33)
還有強國以外的使用者、甚至 Android 使用者也別掉以輕心。依據強國網民的查證,搞出 XcodeGhost 的團隊,也在 Unity 上動了相同的手腳,目前懷疑有一個特定版本(4.6.4)可能有已經外流。

換句話說,如果你是個 App 開發者,就算你沒去地下管道抓 IDE 來用,但是只要你疏忽大意,上網找第三方廠商的函式庫、卻懶得比對 MD5,你一樣有機會中標。而且函式庫污染可是比 IDE 污染更難抓。

像 XcodeGhost 這種類型的函式庫污染攻擊,根本就不是新聞。除了開發者自己小心警惕、然後事發後被動查緝下架以外,也沒別的好方法。
發表回應
謹慎發言,尊重彼此。按此展開留言規則