Tags:
Node Thumbnail

บริษัทความปลอดภัยเครือข่าย Palo Alto Networks รายงานการพบมัลแวร์บน iOS ตัวใหม่ ที่สามารถแพร่กระจายติดอุปกรณ์ iOS ได้ แม้ไม่ใช่เครื่องที่ jailbreak ก็ตาม

Palo Alto Networks ตั้งชื่อมัลแวร์ตัวนี้ว่า AceDeceiver เทคนิคของมันใช้ช่องโหว่จากระบบ DRM FairPlay ของแอปเปิล โจมตีอุปกรณ์เป้าหมายแบบ Man-in-the-Middle (MITM)

ปกติแล้ว การติดตั้งแอพบนอุปกรณ์ iOS ทำได้สองวิธี ทางแรกคือโหลดแอพตรงจาก App Store ส่วนทางที่สองคือซื้อแอพผ่านโปรแกรม iTunes แล้วโยกไฟล์ไปยังอุปกรณ์ iOS ที่ต่อเชื่อมกับคอมพิวเตอร์ ซึ่ง AceDeceiver เจาะผ่านวิธีการแบบที่สอง

No Description

FairPlay MITM

แอพที่ซื้อผ่าน iTunes จะมีระบบตรวจสอบสิทธิ์ (DRM) ชื่อ FairPlay ที่แอปเปิลใช้มานานแล้ว จุดอ่อนของระบบ FairPlay คือมันคุ้มครองเฉพาะตัวไฟล์แอพเท่านั้น ไม่ได้ตรวจสอบไปถึงระดับของ Apple ID ด้วย

  • แอปเปิลตรวจสอบแค่คอมพิวเตอร์ต้องมี Apple ID ที่เคยซื้อแอพเท่านั้น โดยไม่จำกัดว่าจะติดตั้งแอพบนอุปกรณ์ iOS ได้กี่เครื่อง
  • Apple ID ที่ซื้อแอพ ไม่จำเป็นต้องเป็นบัญชีเดียวกับ Apple ID บนอุปกรณ์ iOS
  • ตัวไฟล์ติดตั้งแอพ (IPA) จะเข้ารหัสด้วย DRM ชุดเดียวกันเสมอ โดยไม่ขึ้นกับ Apple ID ที่ใช้ซื้อแอพ และคอมพิวเตอร์ที่ดาวน์โหลดไฟล์

จุดอ่อนนี้ ทำให้แฮ็กเกอร์สามารถซื้อแอพจาก App Store จากนั้นเซ็ตกระบวนการ MITM ที่ช่วงการถ่ายไฟล์มายังคอมพิวเตอร์ ก่อนจะส่งไฟล์มัลแวร์ไปยังอุปกรณ์ iOS อีกทีหนึ่ง (ตามแผนภาพข้างต้น)

อุปสรรคสำคัญของกระบวนการ MITM แบบนี้คือ

  • แอพมัลแวร์จะต้องผ่านการตรวจเข้า App Store เพื่อให้มีระบบ DRM คุ้มครองและอุปกรณ์ iOS เชื่อว่ามาจาก App Store จริง
  • แฮ็กเกอร์ต้องหลอกให้ผู้ใช้คอมพิวเตอร์ ดาวน์โหลดแอพที่มีมัลแวร์ฝังอยู่ เพื่อไปติดตั้งในอุปกรณ์ iOS อีกทอดหนึ่ง

กระบวนการทำงานของ AceDeceiver

ผู้สร้าง AceDeceiver ประสบความสำเร็จในการแก้ปัญหาทั้งสองจุด สำหรับขั้นแรก ผู้สร้างมัลแวร์สามารถส่งแอพปลอมที่มี AceDeceiver ฝังอยู่ ขึ้นไปบน App Store ได้ถึง 3 แอพด้วยกัน โดยปลอมเป็นแอพเกี่ยวกับภาพวอลล์เปเปอร์ เนื่องจากมัลแวร์ตัวนี้เจาะจงโจมตีผู้ใช้ iOS ในจีน ทำให้หลุดการตรวจสอบของแอปเปิลขึ้น Store ได้

กระบวนการนี้ทำให้แฮ็กเกอร์สามารถดาวน์โหลดไฟล์ AceDeceiver ที่มี DRM FairPlay กลับมาเก็บไว้ได้ (ดังนั้นถึงแม้แอปเปิลจะทราบว่าแอพเหล่านี้มีปัญหา และลบจาก App Store ไปแล้ว ก็ไม่มีผลอะไร เพราะสิ่งที่แฮ็กเกอร์ต้องการคือไฟล์แอพที่มี DRM ถูกต้อง)

ฝั่งของคอมพิวเตอร์ แฮ็กเกอร์สร้างโปรแกรมชื่อ Aisi Helper โดยระบุว่าเป็นโปรแกรมที่ช่วยจัดการแอพบน iOS และสำรองข้อมูลให้ผู้ใช้ดาวน์โหลดไปติดตั้ง สิ่งที่เกิดขึ้นเมื่อผู้ใช้เปิด Aisi Helper ขึ้นมา คือโปรแกรมจะติดตั้งไฟล์แอพมัลแวร์ที่ได้จากขั้นแรก ลงไปใน iOS โดยที่ผู้ใช้ไม่ทราบ

No Description

หลังจากแอพที่แอบฝัง AceDeceiver ติดตั้งบน iOS สำเร็จแล้ว มันจะหลอกเอารหัสผ่าน Apple ID ของผู้ใช้ โดยเปิดหน้าสโตร์ทางเลือกที่มีแอพเถื่อน และขอรหัสผ่านเพื่อติดตั้งแอพเหล่านี้

ถ้าผู้ใช้งานเผลอให้รหัสผ่านไป รหัสเหล่านี้ก็จะถูกส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์ เพื่อนำไปใช้เจาะข้อมูลบัญชีออนไลน์ต่อไป

No Description

ตอนนี้ AceDeceiver ยังแพร่ระบาดเฉพาะในจีน แต่ด้วยเทคนิค FairPlay DRM ส่งผลให้ AceDeceiver สามารถแพร่กระจายไปยังผู้ใช้ในประเทศอื่นๆ ได้ไม่ยาก ทาง Palo Alto Networks แจ้งปัญหาไปยังแอปเปิล และแอปเปิลก็ลบแอพออกจาก App Store แล้ว

Palo Alto Networks แนะนำให้ผู้ใช้ iOS ควรเปิดใช้ระบบยืนยันตัวตนแบบสองปัจจัย two-factor authentication เพื่อคุ้มครอง Apple ID จากการโดนหลอกเอารหัสผ่าน

จะเห็นว่าเทคนิคการจู่โจมของ AceDeceiver ค่อนข้างซับซ้อน เพราะใช้เทคนิคหลายอย่างร่วมกัน เช่น MITM จากช่องโหว่ของ FairPlay, การหลอกระบบตรวจสอบแอพของ App Store และการสร้างโปรแกรมบนพีซีโดยหลอกให้ผู้ใช้ติดตั้งบนเครื่อง

ที่มา - Palo Alto Networks

Get latest news from Blognone

Comments

By: mementototem
ContributorJusci's WriterAndroidWindows
on 18 March 2016 - 18:33 #894858
mementototem's picture

เปิด two-factor อาจจะช่วยป้องกันบัญชี Apple ได้ แต่ไม่สามารถป้องกันบัญชีอื่นที่ใช้ user/pass เดียวกัน ยกเว้นว่า บัญชีนั้น ๆ จะเปิด two-factor ด้วย


Jusci - Google Plus - Twitter - FSN

By: ash_to_ash
AndroidWindows
on 18 March 2016 - 19:44 #894873

Mac ไม่มีไวรัส#ท่ดๆแมวพิมพ์
เข้าเรื่อง
- จากที่อ่านผมเข้าใจว่าเกิดจากคอมติดไวรัสแล้ว
แอบอ้างสิทธิ์การลงแอพจากไอจูนแล้วลง
สปายแวร์เพื่อดักเอาข้อมูลเรา
- การป้องกันปัญหาเบื้องต้นคือโหลดแอพจากแอพสโตร์ผ่านอุปกรณ์iOSโดยตรง/ใช้การล็อคอินโดยใช้finger print

ผมเข้าใจถูกไหมครับ?

By: MaxxIE
iPhoneAndroidUbuntuWindows
on 18 March 2016 - 19:46 #894874
MaxxIE's picture

สรุปคือ ทำครีมดีๆให้ อย.ตรวจ แล้วเอาเลขที่ อย.มาใช้กับครีมที่ไม่ผ่านมาตรฐาน แล้วเอาไปหลอกขายให้ลูกค้าสินะครับ

By: sunVSmoon
Windows
on 18 March 2016 - 21:33 #894899 Reply to:894874

ดังนั้น...ก่อนซื้อครีม...ลูกค้าควรตรวจสอบเลขที่ อย. ให้ตรงกับชนิดครีม
หรือเลือกซื้อครีมโดยตรงจากตัวแทนที่เชื่อถือได้

By: nrml
ContributorIn Love
on 18 March 2016 - 21:48 #894906 Reply to:894899
nrml's picture

ตรงนี้ก็ไม่รู้จะไปเทียบกับอะไรเพราะที่แจ้งจดไว้ก็ตรงทุกประการ แต่พอมีการตรวจสอบแล้วก็พบว่ามีสารต้องห้ามในครีม เจ้าของครีมก็ออกมาแก้ตัวง่ายๆ เลยว่า อันนั้นไม่ใช่ของจริง เป็นของเลียนแบบ

พูดถึงเรื่องครีมปกติแล้วเรื่องมี อย. หรือไม่มี อย. แทบจะไม่ต่างกันเพราะไม่ใช่สินค้าควบคุมพิเศษที่ต้องมีเครื่องหมายนี้ เคยไปอ่านขั้นตอนการขอ อย.แล้วถึงรู้ว่ามันยังมีช่องโหว่เยอะ

By: sunVSmoon
Windows
on 19 March 2016 - 08:49 #895018 Reply to:894906

อย. บ้านเรานอกจากแปลว่า "อาหย่อย" แล้ว...ก็ไม่ได้มีอะไรพิเศษเลย

By: KuroNeko_Hiki
AndroidUbuntuWindows
on 18 March 2016 - 21:44 #894905 Reply to:894874
KuroNeko_Hiki's picture

ถ้าเข้าใจไม่ผิด

โหลดแอปที่ถูกตรวจสอบผ่าน DRM ของ Apple ไปในเครื่องคอม
แล้วก็หลอกว่า ต้องโหลดแอปอีกตัวบน PC เพื่อช่วยให้คอมพิวเตอร์ของคุณเร็วขึ้น ในการจัดการไฟล์แอปต่างๆบนมือถือ หลอกให้ผู้ใช้กรอก ไอดีรหัสผ่าน เพื่อเข้าไปโหลดแอป

แฮกเกอร์ก็ได้รหัสผ่านไป ลองเจาะอันอื่นเล่นๆ...

ถึงแม้ตอนนี้Apple จะลบตัวแอปไปแล้ว เดี้ยวก็ส่งตัวใหม่เข้าไปได้...?

By: mementototem
ContributorJusci's WriterAndroidWindows
on 18 March 2016 - 22:00 #894912 Reply to:894905
mementototem's picture

ไม่จำเป็นต้องส่งตัวใหม่ไปแล้วครับ (ในขณะนี้) เพราะได้แอพที่มี DRM ถูกต้องมาแล้ว ตัว client สามารถโหลดไฟล์ .ipa จากแหล่งไหนก็ได้เพื่อติดตั้งลงไปในเครื่องเหยื่อครับ


Jusci - Google Plus - Twitter - FSN

By: Bluetus
iPhone
on 19 March 2016 - 03:50 #894974
Bluetus's picture

เป็นวิธีที่โหดมาก

By: nottoscale
Windows Phone
on 19 March 2016 - 05:49 #894982

ใชเครื่องไหนเครื่องนั้นโหลดแอพลงทีละเครื่องไม่ต่อไอทูน

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 19 March 2016 - 10:48 #895060

แอพตู้ที่ถ้าพ่อค้าหัวหมออาจจะโดนเป็นแถบๆ

By: KuLiKo
iPhoneWindows PhoneAndroidWindows
on 19 March 2016 - 13:28 #895101

ยอมรับว่าถึงจะไม่ใช่สิ่งที่ถูกต้อง แต่แฮคเกอร์ฉลาดเป็นกรดจริงๆ