استفاده از سرويس MDM برای جاسوسی در دستگاه‌های آيفون

چهارشنبه ۲۷ تیر ۱۳۹۷
محققان امنیتی یک پویش بدافزار تلفن همراه بسیار هدفمند که توانسته است کنترل 13 دستگاه آیفون را به‌دست آورد را کشف کرده‌اند.
مرکز آپا شریف
SUT-APA-LOGO

محققان امنیتی یک پویش بدافزار تلفن همراه بسیار هدفمند کشف کرده‌اند که از ماه اوت سال 2015 فعال بوده و توانسته است کنترل 13 دستگاه آیفون را به‌دست آورد.
محققان معتقدند که مهاجمان، پروتکل مدیریت دستگاه‌های تلفن همراه (MDM) را به‌منظور کنترل و گسترش برنامه‌های کاربردی مخرب از راه دور، مورد سوءاستفاده قرار دادند. MDM نوعی نرم‌افزار امنیتی متن‌باز است که توسط شرکت‌های بزرگ برای کنترل و اجرای سیاست‌ها در دستگاه‌هایی که کارکنان از آن‌ها استفاده می‌کنند، بکار گرفته می‌شود.
برای ثبت‎نام یک دستگاه iOS در سرویس MDM، نیاز است که کاربر به‌صورت دستی، گواهی‌نامه‌ی توسعه‌ی سازمان که توسط برنامه‌ی “Developer Enterprise” اپل توسعه یافت است، نصب کند. شرکت‌ها می‌توانند با استفاده از “Apple Configurator” و از طریق پست الکترونیکی یا یک صفحه‌ی وب، فایل پیکربندی MDM را برای سرویس ثبت‌نام over-the-air ارایه دهند. پس از نصب این فایل توسط کاربر، سرویس MDM به مدیران شرکت‌ها اجازه می‌دهد تا از راه دور دستگاه را کنترل، برنامه‌ها را نصب/ حذف کنند، گواهی‌نامه‌ها را نصب/ لغو کنند، دستگاه را قفل کنند و مقررات رمز عبور را تغییر دهند. MDM همچنین می‌تواند کنترل کامل دستگاه و توانایی نصب نسخه‌های جعلی از برنامه‌های واقعی را به مهاجمان بدهد.
زمانی که هکرها توانستند کنترل دستگاه را به‌دست آورند، آنگاه می‌توانند انواع مختلف اطلاعات حساس ازجمله شماره‌ی تلفن، شماره‌ی سریال، محل سکونت، جزئیات تماس، عکس‌های کاربر، پیامک‌ها و پیام‌های چت واتس‌آپ و تلگرام را از دستگاه‌های آلوده، به‌سرقت ببرند.
کاربرانی که مورد سوءاستفاده‌ی این پویش قرار گرفتند، از تعدادی از مدل‌های آیفون استفاده می‌کنند که نسخه‌های iOS از 10.2.1 تا 11.2.6 را اجرا می‌کنند.
محققان از چگونگی دریافت مجوزهای فراوان مورد نیاز برای اجرای نرم‌افزار در آیفون‌های آسیب‌دیده اطلاعات کافی ندارند، اما گمان می‌کنند که مهندسی اجتماعی گسترده‌ای برای جلب نظر کاربران بکار گرفته می‌شود.
این احتمال وجود دارد که هکرها، مجوزهای لازم را از راه فرایند ثبت‌نام در MDM که شامل مراحل متعدد و اجازه‌ی نصب برخی از گواهینامه‌های اضافی بر روی دستگاه است، به‌دست می‌آورند. محققان این کار را معادل اجازه‌ی دسترسی مدیر به دستگاه و داده‌های آن می‌دانند.
در این حمله، دو سرویس مختلف MDM بکار گرفته می‌شود که شامل فعال‌سازی کنترل سطح سیستم بر روی چندین دستگاه از یک مکان و توانایی نصب، حذف و انتقال داده‌ها از برنامه‌ها است.
یکی از روش‌های سرقت اطلاعات، نسخه‌های مخرب سرویس‌های پیام‌رسان مانند تلگرام و واتس‌آپ است که از راه به‌روزرسانی‌های جعلی برای دستکاری دستگاه مورد استفاده قرار می‌گیرند. این برنامه‌ها خود را برای کاربر قانونی معرفی می‌کنند، اما کد مخرب، اطلاعاتی را از جمله پیام‌ها، عکس‌ها و مخاطبین را به یک کارگزار کنترل و فرمان مرکزی ارسال می‌کند.
راه‌اندازی این برنامه‌ها نیاز به تکنیک “BOptions sideloading” دارد که اجازه‌ی درخواست مجوزهای اضافی، اجرای کد و سرقت اطلاعات از برنامه‌ی اصلی را می‌دهد.
اطلاعاتی که از مهاجمان در این پویش به‌جای مانده است شامل گواهی صادرشده در ماه سپتامبر سال 2017 است که شامل یک آدرس پست الکترونیکی روسی است. با این حال، محققان می‌گویند این امر به‌طور عمد انجام شده است تا توجه را از مهاجمان واقعی که در هند فعالیت دارند، دور کند.
تجزیه و تحلیل در مورد این پویش نشان می‌دهد که در یک مورد، مهاجمان از تلفن شخصی خود برای آزمایش MDM استفاده کردند و نام دستگاه‌ها “Test” و “mdmdev” هستند. این دستگاه‌ها هر دو دارای شماره‌ی تلفن مشابه بوده و در هند ثبت‌نام شده‌اند.
اپل پیش از گزارش این پویش، ۳ گواهی‌نامه‌ی مرتبط با این پویش را لغو کرده بود و پس از اطلاع از این موضوع، ۲ گواهی‌نامه‌ی دیگر را نیز لغو کرد.
به گفته‌ی محققان، استفاده‌ی احتمالی از مهندسی اجتماعی برای دراختیار گرفتن دستگاه‌ها می‌تواند به کاربران یادآوری کند که باید از کلیک‌کردن بر روی لینک‌های ناخواسته خودداری کنند و هویت و مشروعیت درخواست‌ها برای دسترسی به دستگاه‌ها را بررسی کنند.