趋势科技：“不越狱 装正版”？海马应用市场的广告程序已感染超7500万iOS用户

可能在很多人看来，苹果iOS系统相对严格的应用分发机制一定程度令iPhone安全性得到了保证。只要不越狱，就算用第三方市场——那些市场也不过是起到应用分发导流的作用，安全不会是个问题。 但你可能不知道，国内有个名为海马苹果助手的第三方应用商店，宣传“不越狱，装正版”，实际上这个市场中的不少应用都植入了广告程序。其用户正在不知不觉地为这个应用市场赚钱。 趋 势科技（Trend Micro）最近发布了一份有关第三方应用市场，滥用苹果开发者企业项目的报告，这份报告主要点名的就是海马市场。这个市场中，我的世界、 Pokenmon Go、Terraria、Instagram、QQ等应用都存在问题，这些应用已经感染了超过7500万苹果用户。如果你在用的话，可要小心了！ 重新打包应用再分发 海马市场并非将用户导流到苹果官方的App Store，而是让用户在App Store之外安装应用，而且的确是不需要用户越狱的。这是怎么做到的呢？有个叫做应用侧加载（side-loading）的方案，这是苹果专门为企业市场准备的。 苹果为了能够在企业市场有一席之地，尤其是现在流行的BYOD（也就是携带自己的设备办公），iOS系统是允许企业用户安装企业内部应用的，这些应用不需要经过App Store的审核。海马苹果助手就是利用企业应用分发，伪装成企业让用户安装市场中的应用的。 值得一提的是，iOS 9这方面的信任机制是有提升的，其中包括采用分层认证过程——所以用户在安装这类企业部署的应用时会有各种提示。而且苹果会撤销那些采用欺骗方式获得的企业证书，这也能一定程度阻止了第三方恶意应用在iOS系统中的部署。 不 过海马苹果助手频繁地更换企业证书，保证这些恶意应用可用。趋势科技在报告中提到，海马在短短半个月的时间里，就换了5个不同的证书。这些证书都是从合法 企业盗取的，一般在地下黑市出售——这类证书的价格大约在300美元左右。这点小开销相比海马市场从包含广告的应用中赚的钱，实在是很少一部分。 另一方面，虽然在iOS 9系统中，侧加载应用部署过程中一路会给用户各种安全警告，但用户一般根本就不会在意这些警告，或者连警告内容都是完全忽略的。于是7800万用户被这类重新打包进了广告程序的应用感染，也就不足为奇了。 感染后有何影响？ 海 马市场中有2款修改版的《Pokemon Go》游戏，下载量已经超过100万次。其中一个版本中包含注入虚假GPS地理位置数据的payload，这样就能绕过Pokemon Go本身的地理位置限制了；另一个版本中则包含了会消耗用户流量的动态库（ad dylib），并且通过广告程序暴露用户个人数据。 海马市场中包含相同动态库的应用有下面这些： 其中的《我的世界：口袋版》安装用户数量已经达到了6887万；Terraria应用也已经有超过600万次的装机量。 这 些应用嵌入来自广告提供商的模块，比如Inmobi、Mobvista、Adsailer、Chance、点入和百度等。相关的JSON文件中有获取数据 的URL地址：hxxp://spa[.]hadobi[.]com/app。像海马市场重新打包的Pokemon Go应用中，就有采用C&C通讯的多个组件，指定广告提供商显示广告的类型等。另外里面也有广告提供商的标识，这是广告提供商支付费用所需的。动 态库确认要显示的广告后，相应的广告模块就会请求API URL，然后从其IP地址拉取广告。 除此之外，趋势科技的分析还显示：这些应用为了让广告投放更加准确，会收集设备和网络信息，包括IMSI和IMEI码，还有设备的越狱状态、设备名、IP地址等，信息都会发往C&C服务器。 实 际上除了海马市场之外，还有一些第三方苹果市场也在做类似的事情，比如说越南的HiStore市场。而防范手段依旧是老三样，不要轻易下载来自不受信任的 第三方市场的应用，尤其是那些部署非官方渠道应用的市场，其中的应用很可能被篡改过。应用开发者也可以部署一些机制，防止自己的应用被轻易篡改，比如代码 混淆，客户端代码签名验证等。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/