安全文库

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰


【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰


【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

譯者:Janus情報局

預估稿費:120RMB

投稿方式:發送郵件至linwei#360.cn,或登陸網頁版在線投稿

簡介


由於iOS系統技術門檻高,封閉性強,針對iOS設備的威脅相對較少。但是這並不意味著iOS設備堅不可摧。2016年,我們也看到了一些成功的威脅事件,從濫用企業證書到利用漏洞突破iOS平台的限制。

這在iXintpwn/YJSNPI中得到了進一步的體現(Trend Micro標記為TROJ_YJSNPI.A),在這個案例中,利用惡意配置文件使iOS設備崩潰無響應。這是今年6月初被逮捕的一個日本腳本小子的部分作品。

雖然現在iXintpwn/YJSNPI只在日本傳播,但是社交網路如此便捷的現在,想要全球傳播也不是個難事。

iXintpwn/YJSNPI最早於2016年11月下旬在twitter出現,一個名為「iXintpwn」的iOS越獄者聲稱其可以對iOS設備進行越獄,隨後YouTube和其他社交網站上也開始相繼傳播。iXintpwn也是發布惡意文件的網站名稱。而在受感染的設備中各種圖標都會顯示為「YJSNPI」,這也被稱為「Beast Senpai」(Senpai在日本一般指的是老師或導師),這個圖片經常在日本論壇上的默認圖片。

不管它是想搞惡作劇還是想出名,這都不重要,重要的是它的攻擊手段。因為在這個案例中,攻擊者可以利用iXintpwn/YJSNPI濫用iOS的特性:未簽名的iOS配置文件。

YJSNPI可以通過訪問包含惡意文件的網站來擴散,主要通過Safari。當用戶訪問網站時,惡意網站的JavaScript文件會響應一個blob對象(惡意配置文件)。而在iOS設備上,最新的Safari接收到伺服器的響應信息並將自動下載配置文件。

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

濫用iOS配置文件


iOS配置文件能夠幫助開發者簡化大量設備的設置,包括電子郵件和exchange、網路和證書。例如,企業利用這些配置文件來簡化對自研應用和企業設備的管理。配置文件還可以自義定設備限制,Wi-Fi、虛擬專用網路(VPN)、輕量目錄訪問協議(LDAP)目錄、日曆擴展到WebDAV(CalDAV)、web剪輯、證書和密鑰。

很顯然,可以利用惡意配置文件來修改這些設置,即轉移設備的流量。這種惡意行為的典型例子包括竊取信息的Wirelurker和來自Haima的重打包廣告軟體

在iXintpwn/YJSNPI這個例子中,它使用未簽名的配置文件,並將其設置為「不能被刪除」,讓用戶無法卸載,如下圖所示。

對於持續性,「PayloadIdentifier」字元串的值是通過JavaScript隨機生成的(很機智)。需要注意的事,iOS在安裝簽名或未簽名的配置文件時採取了相應的措施,需要用戶直接進行交互。唯一的區別是這些配置文件的顯示方式,例如,簽名的文件被表示為「已驗證」。

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

iOS SpringBoard圖標溢出


在iXintpwn/YJSNPI的配置文件安裝后,主屏幕上會疊加很多同樣的圖標。點擊它會導致滿是YJSNPI圖標的屏幕溢出,並且桌面SpringBoard崩潰。此時,YJSNPI圖標是可點擊的,但只會顯示圖標更大的解析度。在圖標溢出期間,設備無任何響應。

【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

緩解措施


比較幸運,這個YJSNPI是可以從設備中卸載的,雖然它被設置為不可移除。已經受影響的用戶可以利用蘋果公司提供的Apple Configurator 2,或者官方的iOS幫助軟體利用Mac管理Apple設備,找到並刪除惡意配置文件。

但是,有些步驟需要注意下。YJSNPI必須完整安裝,否則圖標無法被移除。——也就是說,如果未完整安裝,那麼當Apple Configurator 2運行時,惡意配置文件不會顯示出來。還有就是,Apple Configurator 2並沒有Windows版本。

提升移動設備安全性是非常必要的,尤其當iOS設備在BYOD環境中運行時。

定期對iO系統S和應用程序進行更新和打補丁,只從應用商店或可信的來源下載應用程序。越獄有風險,安裝需謹慎。應充分意識到授權的重要性,對於可疑應用所請求的可疑許可權應理智判斷。同樣建議應用開發人員採取一定的措施保護所開發的應用程序,這樣可以在一定程度上降低其被利用而進行惡意傳播的幾率。


【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰 【技術分享】iXintpwn/YJSNPI濫用iOS配置文件,可以導致設備崩潰

本文由 安全客 翻譯,轉載請註明「轉自安全客」,並附上鏈接。
原文鏈接:http://blog.trendmicro.com/trendlabs-security-intelligence/ixintpwn-yjsnpi-abuses-ioss-config-profile-can-crash-devices/