苹果显示你的iphone被黑客攻击（黑客使用恶意移动设备管理方案针对iPhone发起攻击）

安全研究人员最近发现一种针对iPhone的恶意软件，这种恶意软件从2015年8月起开始实施攻击，已经在印度发现有13台iPhone被监控。

由于是在印度被发现，因此高度怀疑恶意软件的始作俑者就在印度，该恶意软件利用移动设备管理协议（MDM）来控制设备并在手机上远程安装恶意应用程序。移动设备管理协议原本是大公司为了数据安全，在员工自带的移动设备强制设置的一种安全策略。

黑客利用苹果的移动设备服务进行远程操控

要在iOS设备中加入移动设备管理协议，需要用户在手机上允许安装企业开发证书，该证书可由企业向苹果企业开发项目申请。

企业可以将移动设备管理配置文件通过电邮或网页形式，通过苹果配置软件进行证书配置。用户安装证书后，公司的管理员就可以远程控制该移动设备，包括安装/卸载应用程序；安装/激活证书；锁定设备；修改设备密码等操作。

移动管理协议使用苹果的推送通知服务（APNS）进行对设备的唤醒，设备在唤醒后会自动接入预先设置好的网络连接接受各种命令。由于以上的每步操作都需要用户的人为介入，例如在iPhone上安装认证证书。因此目前还不得知黑客是如何获得那13台iPhone的权限安装证书并发起攻击的。

而思科的研究人员认为，这种攻击既不是使用社会工程也不是通过物理连接发起的，而是通过Telegram和WhatsApp应用程序发起的。

思科的研究人员发现，黑客利用移动设备管理协议远程向手机发送非官方版的应用程序，用户安装后就可以对手机进行实时监控，包括用户的位置信息、通讯录、照片、短信和应用程序中的聊天记录。

黑客为了在Telegram和WhatsApp聊天工具中添加恶意插件，使用了BOptions sideloading技术，这样就可以在这些合法的聊天工具中添加恶意的动态库。这些动态库文件会要求额外的应用权限，然后窃取用户的敏感信息。在本案例中，黑客在Telegram和WhatsApp中添加了恶意动态库文件，就可以将用户的位置信息、联系人名单、图片发送到hxxp[:]//techwach[.]com这个网址。

思科的研究人员还发现了印度另外一款手机应用程序PrayTime也存在恶意代码，当用户下载并在手机上打开该应用程序进行宗教祈祷仪式时，该应用程序会推送各种广告，还会读取手机短信并上传至远程服务器。

目前这种攻击行为的黑客还没找到，背后的动机也尚不清楚。研究人员找到的证据是，攻击行为发生在印度，而且黑客还会故意将IP地址伪装成俄罗斯。从2015年至今，可能是由于被攻击的设备数量少，所以背后的黑客还没找到。所有被发现受到攻击的设备都来自于印度的一家移动通信服务商。

截至发稿，苹果公司已经删除了此次事件中的5个开发证书。

欢迎关注我们