360报告揭开iOS“假面攻击”真容可伪装任意App

11月11日，360发布关于近期肆虐iPhone的WireLurker和Masque Attack(假面攻击)两大漏洞的专项研究报告。报告显示，Masque Attack通过安装恶意程序、盗取用户隐私等行为进行恶意攻击。同不久前泛滥的WireLurker一样，目前Masque Attack已被证实在越狱和非越狱的iOS设备上均能产生影响，从iOS7.1.1至8.1.1 beta最新版，基本覆盖目前所有主流iOS版本。

图：360报告显示被替换后的社交APP可变为某银行软件

360报告称，Masque Attack通过使用相同的bundle ID替换手机上已从AppStore下载安装的应用程序，替换后的APP可以获取该应用程序的用户敏感数据，甚至能够实现对系统进行攻击。

报告中还重现Masque Attack的攻击过程：读取某社交APP的bundle ID，通过解压分析原有APP进行替换，在对企业账户重新签名封装打包后可直接执行对原有APP文件的替换，在安装完成后发现，原有的社交APP已彻底变成某银行应用。“假面攻击”就是这样，利用虚假安装包替换原有正版APP进行恶意攻击。

此外，通过诱导用户替换AppStore下载的应用程序，被改动后的程序可以获取用户登录APP的账户及密码，如邮箱、银行的账户密码都会被窃取。而APP的配置信息、缓存文件等隐私信息也全部暴露。并且，它会绕过sandbox的保护对系统进行攻击，危害显而易见。

除了攻击手段极为隐蔽外，目前Masque Attack攻击范围也十分广泛，该漏洞已被证实在越狱和非越狱的iOS7.1.1、7.1.2、8.0以及8.1.1beta版本下均受影响，基本可以通杀所有iOS版本。

360手机安全专家分析，Masque Attack可通过USB连接和无线网络安装虚假APP。通过USB使PC与手机相连，在非越狱的情况下将替换现有APP安装到手机中，而在无线网络环境下则能通过在短信、iMessage、邮件中附带连接的方式诱导用户安装替换原有APP，并且这种方式受众更广传播更快。

报告中360手机安全专家提醒用户，不要安装非苹果AppStore或第三方用户开发的应用程序，不要随意点击短信、iMessage、邮件弹出的网址链接，如果安装程序显示“不受信任的应用程序开发”更需谨慎安装。此外，还可使用360手机卫士专业版查杀近期几款针对iOS的漏洞，谨防个人隐私数据被窃。

Masque Attack(假面攻击)之详细分析与利用技术研究报告：

http://bobao.360.cn/learning/detail/90.html