安全研究人員最近發現一種針對iPhone的惡意軟件，這種惡意軟件從2015年8月起開始實施攻擊，已經在印度發現有13台iPhone被監控。

由于是在印度被發現，因此高度懷疑惡意軟件的始作俑者就在印度，該惡意軟件利用移動設備管理協議（MDM）來控制設備并在手機上遠程安裝惡意應用程序。移動設備管理協議原本是大公司為了數據安全，在員工自帶的移動設備強制設置的一種安全策略。

黑客利用蘋果的移動設備服務進行遠程操控

要在iOS設備中加入移動設備管理協議，需要用戶在手機上允許安裝企業開發證書，該證書可由企業向蘋果企業開發項目申請。

企業可以将移動設備管理配置文件通過電郵或網頁形式，通過蘋果配置軟件進行證書配置。用戶安裝證書後，公司的管理員就可以遠程控制該移動設備，包括安裝/卸載應用程序；安裝/激活證書；鎖定設備；修改設備密碼等操作。

移動管理協議使用蘋果的推送通知服務（APNS）進行對設備的喚醒，設備在喚醒後會自動接入預先設置好的網絡連接接受各種命令。由于以上的每步操作都需要用戶的人為介入，例如在iPhone上安裝認證證書。因此目前還不得知黑客是如何獲得那13台iPhone的權限安裝證書并發起攻擊的。

而思科的研究人員認為，這種攻擊既不是使用社會工程也不是通過物理連接發起的，而是通過Telegram和WhatsApp應用程序發起的。

思科的研究人員發現，黑客利用移動設備管理協議遠程向手機發送非官方版的應用程序，用戶安裝後就可以對手機進行實時監控，包括用戶的位置信息、通訊錄、照片、短信和應用程序中的聊天記錄。

黑客為了在Telegram和WhatsApp聊天工具中添加惡意插件，使用了BOptions sideloading技術，這樣就可以在這些合法的聊天工具中添加惡意的動态庫。這些動态庫文件會要求額外的應用權限，然後竊取用戶的敏感信息。在本案例中，黑客在Telegram和WhatsApp中添加了惡意動态庫文件，就可以将用戶的位置信息、聯系人名單、圖片發送到hxxp[:]//techwach[.]com這個網址。

思科的研究人員還發現了印度另外一款手機應用程序PrayTime也存在惡意代碼，當用戶下載并在手機上打開該應用程序進行宗教祈禱儀式時，該應用程序會推送各種廣告，還會讀取手機短信并上傳至遠程服務器。

目前這種攻擊行為的黑客還沒找到，背後的動機也尚不清楚。研究人員找到的證據是，攻擊行為發生在印度，而且黑客還會故意将IP地址僞裝成俄羅斯。從2015年至今，可能是由于被攻擊的設備數量少，所以背後的黑客還沒找到。所有被發現受到攻擊的設備都來自于印度的一家移動通信服務商。

截至發稿，蘋果公司已經删除了此次事件中的5個開發證書。

歡迎關注我們

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!