4月10日消息,近日,据国外媒体TechCrunch报道,移动安全公司Lookout发现,一款强大的间谍软件正瞄准iPhone用户,并窃取他们的隐私信息。
研究人员宣称,这款软件的开发者滥用了苹果公司颁发的企业证书,绕过其应用商店审查,感染毫无戒心的受害者设备。这种伪装软件被安装后,它可以悄无声息地获取受害者的联系人、音频记录、照片、视频和其他设备信息,包括他们的实时位置数据。
研究人员发现,这款应用还可以被远程触发,监听人们的谈话。尽管没有数据显示谁可能成为攻击目标,但研究人员指出,这款恶意应用出现在意大利和土库曼斯坦手机运营商的虚假网站上。此前,也曾出现针对安卓设备的类似间谍软件Exodus。
Lookout高级安全情报工程师亚当·鲍尔(Adam Bauer)表示,这两款软件都使用了相同的后端基础设施,而iOS版本使用了多种技术,使得分析网络流量变得非常困难,显然有专业团体负责开发这些软件。
研究人员表示,他们不知道有多少苹果用户受到了影响。苹果还没有就此置评。
苹果企业证书已经不是第一次被爆出此类丑闻了。
苹果企业账号(Apple Developer Enterprise Program)是苹果公司提供给 iOS 开发者的一种高级别的开发者账号,区别于个人开发者账号和公司开发者账号,企业账号具有如下特点:价格比个人账号和公司账号更贵,为 299$/年不可以提交应用到 App Store 商店可以将签名后的应用在任何 iOS 设备上安装,且没有安装数量的限制其中,正是由于第3条的特点,给开发者在测试和分发 App 时,带来了极大的便利。所以,一般开发者申请使用苹果企业账号(或苹果企业签名),也是为了这个特点。
但是,因为苹果对于 App 的安装有着非常严格的限制,所以苹果对企业账号的使用也给出了种种严格的条款,详见:Apple Developer – Terms and Agreements 。其中,最重要的条款是:使用企业账号签名后的应用,只可以用于企业内部员工安装,不可以公开下载。
不法分子正是利用这个漏洞进行上下游的违法犯罪活动。
之前Freebuf曾发布了一篇文章表示,有个别不法分子通过滥用和购买企业证书打包非法App的情况,通过某网站在线安装ipa ,跨过Appstore的形式,传播大量涉黄涉赌应用,专坑中国人。文章指出,举出漏洞URL只是冰山一脚,按规模总涉案金额可能达数万亿,苹果产品官网包括苹果开发者官网目前无投诉举报入口,肆意让这些质量很差又违法的App坑人。
