Apple 及其 App Store 在安全方面享有盛譽。然而,分析師火眼剛剛對一種技術發出了警報,該技術可以繞過庫比蒂諾公司嚴格的驗證程序並將任意程式碼下載到應用程式中。這個想法是依靠 JSPatch,這是一個第三方庫,允許 iOS 應用程式從 Web 下載 JavaScript 程式碼,將其轉換為 Objective-C 程式碼(Apple 歷史悠久的程式語言),然後“即時注入到相關應用程式” 。
JSPatch 程式碼在 GitHub 上以開源形式提供。它是由一位自稱“band590”的中國計算機科學家創建的,其動機是非常合理的。它的庫可以對應用程式進行緊急更新,而無需經過蘋果的驗證程序,而驗證程序通常需要一周以上的時間。當然,問題是 JSPatch 可能被惡意使用。
因此,駭客可以創建一個看似無害的應用程序,一旦安裝在終端上,就會直接從互聯網下載惡意軟體。用戶除了火什麼也看不到。另一種攻擊方法:駭客可以攔截無害的 JavaScript 程式碼並將其替換為惡意版本,而使用者或開發人員不會有絲毫懷疑。
FireEye 提供了一些惡意利用的範例,例如存取照片目錄、剪貼簿(對於竊取密碼非常有用)甚至低階系統設定。
在後一種情況下,FireEye 使用為 Apple 保留的所謂「私有」程式介面。使用它的應用程式將在 App Store 層級自動被阻止…當然,除非程式碼隨後僅使用 JSPatch 注入。
但我們也不應該誇大這項發現。據 FireEye 稱,目前只有 1220 個應用程式使用該程式庫。這對App Store來說只是滄海一粟,主要涉及中文應用程式。因此,目前這個問題還很小,但它可能會蔓延。
來源 :
火眼
