พบมัลแวร์ iOS ที่แพร่กระจายได้โดยไม่ต้อง Jailbreak แต่ใช้ช่องโหว่ของระบบ DRM

By mk

on 18 March 2016 - 18:11 Tag: Palo Alto Networks, iOS, Apple, FairPlay, DRM, Security

Palo Alto Networks

บริษัทความปลอดภัยเครือข่าย Palo Alto Networks รายงานการพบมัลแวร์บน iOS ตัวใหม่ ที่สามารถแพร่กระจายติดอุปกรณ์ iOS ได้ แม้ไม่ใช่เครื่องที่ jailbreak ก็ตาม

Palo Alto Networks ตั้งชื่อมัลแวร์ตัวนี้ว่า AceDeceiver เทคนิคของมันใช้ช่องโหว่จากระบบ DRM FairPlay ของแอปเปิล โจมตีอุปกรณ์เป้าหมายแบบ Man-in-the-Middle (MITM)

ปกติแล้ว การติดตั้งแอพบนอุปกรณ์ iOS ทำได้สองวิธี ทางแรกคือโหลดแอพตรงจาก App Store ส่วนทางที่สองคือซื้อแอพผ่านโปรแกรม iTunes แล้วโยกไฟล์ไปยังอุปกรณ์ iOS ที่ต่อเชื่อมกับคอมพิวเตอร์ ซึ่ง AceDeceiver เจาะผ่านวิธีการแบบที่สอง

FairPlay MITM

แอพที่ซื้อผ่าน iTunes จะมีระบบตรวจสอบสิทธิ์ (DRM) ชื่อ FairPlay ที่แอปเปิลใช้มานานแล้ว จุดอ่อนของระบบ FairPlay คือมันคุ้มครองเฉพาะตัวไฟล์แอพเท่านั้น ไม่ได้ตรวจสอบไปถึงระดับของ Apple ID ด้วย

แอปเปิลตรวจสอบแค่คอมพิวเตอร์ต้องมี Apple ID ที่เคยซื้อแอพเท่านั้น โดยไม่จำกัดว่าจะติดตั้งแอพบนอุปกรณ์ iOS ได้กี่เครื่อง
Apple ID ที่ซื้อแอพ ไม่จำเป็นต้องเป็นบัญชีเดียวกับ Apple ID บนอุปกรณ์ iOS
ตัวไฟล์ติดตั้งแอพ (IPA) จะเข้ารหัสด้วย DRM ชุดเดียวกันเสมอ โดยไม่ขึ้นกับ Apple ID ที่ใช้ซื้อแอพ และคอมพิวเตอร์ที่ดาวน์โหลดไฟล์

จุดอ่อนนี้ ทำให้แฮ็กเกอร์สามารถซื้อแอพจาก App Store จากนั้นเซ็ตกระบวนการ MITM ที่ช่วงการถ่ายไฟล์มายังคอมพิวเตอร์ ก่อนจะส่งไฟล์มัลแวร์ไปยังอุปกรณ์ iOS อีกทีหนึ่ง (ตามแผนภาพข้างต้น)

อุปสรรคสำคัญของกระบวนการ MITM แบบนี้คือ

แอพมัลแวร์จะต้องผ่านการตรวจเข้า App Store เพื่อให้มีระบบ DRM คุ้มครองและอุปกรณ์ iOS เชื่อว่ามาจาก App Store จริง
แฮ็กเกอร์ต้องหลอกให้ผู้ใช้คอมพิวเตอร์ ดาวน์โหลดแอพที่มีมัลแวร์ฝังอยู่ เพื่อไปติดตั้งในอุปกรณ์ iOS อีกทอดหนึ่ง

กระบวนการทำงานของ AceDeceiver

ผู้สร้าง AceDeceiver ประสบความสำเร็จในการแก้ปัญหาทั้งสองจุด สำหรับขั้นแรก ผู้สร้างมัลแวร์สามารถส่งแอพปลอมที่มี AceDeceiver ฝังอยู่ ขึ้นไปบน App Store ได้ถึง 3 แอพด้วยกัน โดยปลอมเป็นแอพเกี่ยวกับภาพวอลล์เปเปอร์ เนื่องจากมัลแวร์ตัวนี้เจาะจงโจมตีผู้ใช้ iOS ในจีน ทำให้หลุดการตรวจสอบของแอปเปิลขึ้น Store ได้

กระบวนการนี้ทำให้แฮ็กเกอร์สามารถดาวน์โหลดไฟล์ AceDeceiver ที่มี DRM FairPlay กลับมาเก็บไว้ได้ (ดังนั้นถึงแม้แอปเปิลจะทราบว่าแอพเหล่านี้มีปัญหา และลบจาก App Store ไปแล้ว ก็ไม่มีผลอะไร เพราะสิ่งที่แฮ็กเกอร์ต้องการคือไฟล์แอพที่มี DRM ถูกต้อง)

ฝั่งของคอมพิวเตอร์ แฮ็กเกอร์สร้างโปรแกรมชื่อ Aisi Helper โดยระบุว่าเป็นโปรแกรมที่ช่วยจัดการแอพบน iOS และสำรองข้อมูลให้ผู้ใช้ดาวน์โหลดไปติดตั้ง สิ่งที่เกิดขึ้นเมื่อผู้ใช้เปิด Aisi Helper ขึ้นมา คือโปรแกรมจะติดตั้งไฟล์แอพมัลแวร์ที่ได้จากขั้นแรก ลงไปใน iOS โดยที่ผู้ใช้ไม่ทราบ

หลังจากแอพที่แอบฝัง AceDeceiver ติดตั้งบน iOS สำเร็จแล้ว มันจะหลอกเอารหัสผ่าน Apple ID ของผู้ใช้ โดยเปิดหน้าสโตร์ทางเลือกที่มีแอพเถื่อน และขอรหัสผ่านเพื่อติดตั้งแอพเหล่านี้

ถ้าผู้ใช้งานเผลอให้รหัสผ่านไป รหัสเหล่านี้ก็จะถูกส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์ เพื่อนำไปใช้เจาะข้อมูลบัญชีออนไลน์ต่อไป

ตอนนี้ AceDeceiver ยังแพร่ระบาดเฉพาะในจีน แต่ด้วยเทคนิค FairPlay DRM ส่งผลให้ AceDeceiver สามารถแพร่กระจายไปยังผู้ใช้ในประเทศอื่นๆ ได้ไม่ยาก ทาง Palo Alto Networks แจ้งปัญหาไปยังแอปเปิล และแอปเปิลก็ลบแอพออกจาก App Store แล้ว

Palo Alto Networks แนะนำให้ผู้ใช้ iOS ควรเปิดใช้ระบบยืนยันตัวตนแบบสองปัจจัย two-factor authentication เพื่อคุ้มครอง Apple ID จากการโดนหลอกเอารหัสผ่าน

จะเห็นว่าเทคนิคการจู่โจมของ AceDeceiver ค่อนข้างซับซ้อน เพราะใช้เทคนิคหลายอย่างร่วมกัน เช่น MITM จากช่องโหว่ของ FairPlay, การหลอกระบบตรวจสอบแอพของ App Store และการสร้างโปรแกรมบนพีซีโดยหลอกให้ผู้ใช้ติดตั้งบนเครื่อง

ที่มา - Palo Alto Networks

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

เปิด two-factor

mementototem Fri, 18/03/2016 - 18:33

เปิด two-factor อาจจะช่วยป้องกันบัญชี Apple ได้ แต่ไม่สามารถป้องกันบัญชีอื่นที่ใช้ user/pass เดียวกัน ยกเว้นว่า บัญชีนั้น ๆ จะเปิด two-factor ด้วย

Mac ไม่มีไวรัส#ท่ดๆแมวพิมพ์

ash_to_ash Fri, 18/03/2016 - 19:44

Mac ไม่มีไวรัส#ท่ดๆแมวพิมพ์
เข้าเรื่อง

จากที่อ่านผมเข้าใจว่าเกิดจากคอมติดไวรัสแล้ว
แอบอ้างสิทธิ์การลงแอพจากไอจูนแล้วลง
สปายแวร์เพื่อดักเอาข้อมูลเรา
การป้องกันปัญหาเบื้องต้นคือโหลดแอพจากแอพสโตร์ผ่านอุปกรณ์iOSโดยตรง/ใช้การล็อคอินโดยใช้finger print

ผมเข้าใจถูกไหมครับ?

สรุปคือ ทำครีมดีๆให้ อย.ตรวจ

MaxxIE Fri, 18/03/2016 - 19:46

สรุปคือ ทำครีมดีๆให้ อย.ตรวจ แล้วเอาเลขที่ อย.มาใช้กับครีมที่ไม่ผ่านมาตรฐาน แล้วเอาไปหลอกขายให้ลูกค้าสินะครับ

ดังนั้น...ก่อนซื้อครีม..

sunVSmoon Fri, 18/03/2016 - 21:33

ดังนั้น...ก่อนซื้อครีม...ลูกค้าควรตรวจสอบเลขที่ อย. ให้ตรงกับชนิดครีม
หรือเลือกซื้อครีมโดยตรงจากตัวแทนที่เชื่อถือได้

ตรงนี้ก็ไม่รู้จะไปเทียบกับอะไ

nrml Fri, 18/03/2016 - 21:48

ตรงนี้ก็ไม่รู้จะไปเทียบกับอะไรเพราะที่แจ้งจดไว้ก็ตรงทุกประการ แต่พอมีการตรวจสอบแล้วก็พบว่ามีสารต้องห้ามในครีม เจ้าของครีมก็ออกมาแก้ตัวง่ายๆ เลยว่า อันนั้นไม่ใช่ของจริง เป็นของเลียนแบบ

พูดถึงเรื่องครีมปกติแล้วเรื่องมี อย. หรือไม่มี อย. แทบจะไม่ต่างกันเพราะไม่ใช่สินค้าควบคุมพิเศษที่ต้องมีเครื่องหมายนี้ เคยไปอ่านขั้นตอนการขอ อย.แล้วถึงรู้ว่ามันยังมีช่องโหว่เยอะ

อย. บ้านเรานอกจากแปลว่า

sunVSmoon Sat, 19/03/2016 - 08:49

อย. บ้านเรานอกจากแปลว่า "อาหย่อย" แล้ว...ก็ไม่ได้มีอะไรพิเศษเลย

ถ้าเข้าใจไม่ผิด

KuroNeko_Hiki Fri, 18/03/2016 - 21:44

ถ้าเข้าใจไม่ผิด

โหลดแอปที่ถูกตรวจสอบผ่าน DRM ของ Apple ไปในเครื่องคอม
แล้วก็หลอกว่า ต้องโหลดแอปอีกตัวบน PC ~~เพื่อช่วยให้คอมพิวเตอร์ของคุณเร็วขึ้น~~ ในการจัดการไฟล์แอปต่างๆบนมือถือ หลอกให้ผู้ใช้กรอก ไอดีรหัสผ่าน เพื่อเข้าไปโหลดแอป

แฮกเกอร์ก็ได้รหัสผ่านไป ลองเจาะอันอื่นเล่นๆ...

ถึงแม้ตอนนี้Apple จะลบตัวแอปไปแล้ว เดี้ยวก็ส่งตัวใหม่เข้าไปได้...?