虚假IOS越狱网站正威胁到Apple用户 – 作者:Threatbook

该虚假网站欺骗iPhone用户能够下载越狱软件,但该假网站不会下载越狱文件,而是最终使用户参与按点击数付费的在线广告欺诈活动。

越狱是一种可以逃避苹果公司在iPhone上可以运行哪些应用程序和代码的局限性的方法,它吸引了那些希望安装自定义代码,添加功能或在苹果生态系统权限范围之外进行安全研究的用户。

虚假网站围绕着一个名为“ checkm8”的漏洞,该漏洞影响了数亿部iPhone,该漏洞可以使攻击者通过不可防御的手段系统级访问手机。具体来说,该网站声称允许用户下载checkra1n,这是一个即将发布的使用checkm8漏洞的越狱软件。

在越狱官方网站(checkra1n[.]com)注册完成24小时之内,该虚假越狱网站也注册完成(checkrain[.]com)。然而,与官方网站不同,该假网站不会下载越狱文件,而是最终使用户参与按点击数付费的在线广告欺诈活动。

然而,该网站也包含了一些暴露这是一个虚假网站的信息,例如,该网站说越狱适用于在A5至A13芯片组上运行的设备。但是,checkm8(以及随后的checkra1n越狱)仅影响在A5至A11芯片组上运行的iOS设备。此外,该网站建议用户可以在没有PC的情况下安装checkra1n越狱,而实际上,checkm8漏洞需要iOS设备处于DFU模式,并且可以通过Apple USB线进行攻击。

为了下载iOS越狱,系统会提示用户在其iOS设备上安装“ mobileconfig”配置文件。“ mobileconfig”配置文件是一种使用Apple的iPhone配置实用程序创建的,用于IT部门和移动运营商的配置文件。

mobileconfig文件可轻松将网络设置分发到iOS设备-但也可用于恶意目的,例如将设备指向恶意服务器并安装恶意证书。但是,研究人员表示,该情况下的配置文件似乎并未用于这些恶意功能。这个恶意配置文件仅滥用了Apple WebClip功能,没有试图获得对设备的特权访问这种方法允许攻击者以更加美观的方式强制网页过渡,即:没有搜索栏,书签或URL栏供用户查看其访问地址。

该配置文件带有SSL证书(真正的checkra1n网站未使用),一旦下载并安装了“ app”,用户手机上就会出现一个检查图标。对用户而言,该图标看起来像是一个应用程序,但实际上是网页剪辑的书签。当用户单击该图标时,网页将全屏加载(没有搜索栏或URL栏,因此仍然看起来像一个应用程序),显示为“在访问checkra1n越狱之前检查您的设备”。

相反,在用户的iOS设备上会发生多次重定向,最终会提示用户从Apple App Store下载名为Pop!Slots(老虎机游戏机应用程序)的iOS应用程序。然后,该网页告诉用户使用iOS游戏应用程序“玩得开心”七天,以确保他们的越狱解锁完成。

目前,该活动针对全球范围内的潜在受害者,包括美国,英国,法国,尼日利亚,伊拉克,越南,委内瑞拉,埃及,乔治亚州,澳大利亚,加拿大,土耳其,荷兰和意大利。

对于研究人员而言,该活动最危险的部分是“ mobileconfig”配置文件下载。尽管该活动似乎没有以比点击欺诈更恶意的方式利用配置文件,但研究人员强调,互联网用户切勿安装互联网上的未知配置文件。

这个恶意网站只会导致点击欺诈。但是,相同的技术可以用于更多恶意和关键操作。攻击者可以使用自己的MDM(移动设备管理)注册来代替“ Web剪辑”配置文件。


相关IOC:checkrain.com

来源:freebuf.com 2019-10-16 11:00:52 by: Threatbook

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论