苹果围绕iOS设备打造的安全机制,不再是“安全系统”的神话。最近爆出的WireLurkerer病毒已经通过麦芽地苹果论坛感染了超过400款Mac软件。过去六个月,467款受感染软件总下载量超过356,104次。而目标受众基本上是在中国的苹果手机、iPad和电脑用户,目前估计数十万人受到影响 。虽然尚且不知道该病毒是不是仅爆发于中国境内,但是对于苹果以往无系统病毒的历史来说,却打开了另外一个“潘多拉的盒子”。
恶意软件针对中国用户 苹果迅速回应但造成恶劣影响难挽回
在发现苹果系统遭遇病毒攻击后不到24个小时,苹果的发言人迅速的表示:“已经意识到该程序对中国用户的苹果产品,iOS系统的攻击,并阻止了该应用程序在应用商店出现。一如既往,希望用户还是从值得信任的渠道下载并安装应用软件。”
但是在苍白的陈述和破处的事实面前,iOS系统再一次被暴露在舆论之下。苹果的设备究竟是如何感染上WireLurker呢?而WireLurker到底会对苹果设备造成什么样的影响呢?
WireLurker是历史上第一个,能在未越狱iOS设备上安装第三方软件的恶意软件。其源于一家中国第三方的应用程序商店,目前感染的主要是中国用户。
Palo Alto Networks声称目前病毒"主要影响中国第三方应用商店麦芽地的用户",貌似箭头指向中国黑客;而麦芽地苹果论坛上的不少用户也在发帖反驳,声称“麦芽地所有资源都是网友分享来自国外的BT站点和博客……原始文件来自国外”……
感染了WireLurkerer的应用程序被上传至苹果商店(Apple Store) ,在那里被下载到大量Mac电脑上,然后又通过Mac和USB感染移动设备。通常苹果iOS系统,只有"越狱"才能从第三方下载应用程序。然而这次的WireLurkerer同时是针对没有"越狱"的移动设备。 被安装到iOS设备上以后,WireLurkerer会收集各种用户信息,包括联络人和iMessages,并且能向黑客发送升级请求,安全人员表示WireLurkerer无疑还在继续开发更新中,其最终目标不明确。
病毒通过企业认证突破 苹果如何防御病毒不得而知
“史上第一次”的标签无疑让苹果系统的软肋曝光。以往,苹果iOS系统一般只能下载App Store认可的应用程序。而WireLurkerer在这个貌似严谨的操作环节中找到了突破口——“企业认证”(enterprise provisioning),即苹果向来是允许企业用户在安装自己的软件程序,无需通过苹果复杂的认证过程,而企业认证的方式相对简单的多,只要一个正式的第三方认证的ID就可以进入苹果的设备。虽然拿到正规第三方认证并不容易,但是WireLurkerer做了个假的ID。就像拿着假身份证混过机场安检一样,WireLurkerer用一个伪造的ID通过企业认证的手续,顺利“登机”。尽管目前看来苹果可以分分钟禁止WireLurkerer的应用程勋,但是以后的黑客们会不会利用同样的伎俩,以假乱真的再次混入苹果的App Store,就很难讲了。在此之后苹果从制度上或是技术上如何防御和抵制,目前也不得而知。
更让人担心的是,Palo Alto Networks的高管Ryan Olson指出,以苹果目前的安全制度和技术来说,他更担心这次攻击对于苹果“企业认证”的企业用户的影响。黑客们可能会通过这些企业认证后的内部应用程序,在企业都不知道的情况下大规模的散播病毒式攻击。他表示 "苹果可以扫除Wirelurker这一个应用程序,但是这扇门被打开之后,拥有企业认证的内部程序,并不能逐一扫除,这个依然是一个潜在的威胁。"
某些担心兴许有些危言耸听,可能解决的途径也不是不存在。iOS安全研究专家 Zdziarski也曾提议过“无企业认证模式”的iPhone,因为毕竟有需要企业认证的的公司集团并不在多数。同样,苹果其实也可以通过加密的方式,将苹果的手机和电脑之间的链接保密化,可以让苹果电脑承载较少的手机运营的信息。更技术化一点的操作方式,甚至可以通过iPhone自身的安全认证模式,去验证一些应用程序,就像很多银行的应用程序所操作的那样。
如今面对Wirelurker的情况,苹果尚且没有给出未来具体的操作方式或解决方案。为了让苹果的系统更安全,苹果在多大程度上愿意去改变呢? 不过在苹果改变之前,也已经有热心的网友分享了“手把手教你检测 Mac是否中招”的指导了。