2017-10-18
手机钓鱼攻击:
- 攻击原理:
ios会在很多情况下要求用户输入iTunes密码,最常见的情况有安装iOS系统更新和app在安装时卡住了。
因此,用户已经习惯了当系统提示输入Apple ID和密码时,输入ID和密码。但是,这些提示不仅出现在锁屏、主页,也可能会出现在一个随机的app中,比如app想要访问iCloud,游戏中心或者应用内购买的情况。
因此,这种提示可以被任意的一个app滥用,通过UIAlertController就可以很简单的实现,效果看起来和系统对话框一模一样。即使了解一点钓鱼攻击的用户也很难在很短时间内发现这些警告(提示)是钓鱼攻击。
- 如何保护:
如果出现这种情况,可以按home键,看app有没有退出:
如果app和输入apple ID密码的对话框都关闭了,证明这是钓鱼攻击;
如果app和对话框都可见,说明这是系统对话框;因为系统对话是不同的进程,不是iOS app的一部分。
不要在弹出窗口中输入ID和密码,手动打开系统设定进行输入。这就跟不点击邮件中的链接,改为在浏览器中手动输入是一个道理。
如果点击了cancel(取消)按钮,app仍然会记录你在password域输入的内容,所以关闭弹出对话框时,先清空弹出框中输入的内容。
建议:
因此,这种提示可以被任意的一个app滥用,通过UIAlertController就可以很简单的实现,效果看起来和系统对话框一模一样。即使了解一点钓鱼攻击的用户也很难在很短时间内发现这些警告(提示)是钓鱼攻击。
现在的web浏览器在防钓鱼攻击方面做得很好,但是手机app里的钓鱼攻击是一个相对比较新的概念。
当系统要求用户输入Apple ID和密码时,让用户在打开系统设置后输入;
修复该问题的根本在于,系统不应该经常要求用户输入ID和密码;
应用中的对话框应该在顶端显示app的标志,来跟系统对话框区分开;
有时候iOS会在锁屏时弹出这样的通知(如下图),点击后会打开iCloud设置,这种方式比向用户直接问密码更好。
2017-10-25
- 腾讯安全应急中心开发的一个针对iOS应用的自动化审计系统https://security.tencent.com/index.php/blog/msg/105:
https://security.tencent.com/index.php/blog/msg/109
静态审计:Bin文件漏洞审计、第三方库检测及私有API静态检测等
动态审计:主要通过hook去监控网络数据包、SSL中间人检测、以及实现IPA的动态安装和运行、文件上传和下载等基本功能。
它的检测项如下图所示:
- 通付盾‘北斗’ios应用检测引擎:https://www.tongfudun.com/cs2.jhtml
提高检测精度:二进制逆向分析引擎(使用符号执行、抽象解释等技术框架);以运行态沙盒为核心的动态分析引擎,同时结合深度学习算法。更高级的逆向分析技术:威胁建模、态势感知等
通付盾提供APP检测与加固的产品和服务,具体的iOS检测项没找到。