WireLurker病毒的主要目的是通過Windows和Mac OS X操作系統調用iTunes接口向iOS設備(iPhone、iPad)寫入由蘋果企業證書自簽名的應用程序(擴展名.ipa)。當iPhone、iPad連接到Mac電腦或Windows電腦後,病毒會偷偷安裝移動設備,獲取電話、通訊錄、短信、瀏覽器、搜索記錄、系統偏好等等信息,病毒同時具有檢測版本自動更新的功能。
在以往的認知中,壹個普遍的看法是iOS設備如果不越獄破解的話,惡意軟件只能通過蘋果官方市場安裝,官方市場的嚴格審核可以避免用戶遭受病毒威脅。壹般情況下,這種說法沒有錯。
但是,使用蘋果手機的用戶並非只有通過官方應用市場這個唯壹的軟件下載渠道, 會有壹些例外事件會發生。相對小概率的例外事件,需要從iOS軟件證書說起。
iOS平臺的應用軟件使用三種證書:
1.普通證書:由軟件開發者簽名後發布APP到官方市場,用戶通過iPhone或iPad訪問官方應用市場下載軟件;顯然,軟件企業在產品不斷增加時,普通證書的管理、使用會比較麻煩,影響開發者發布軟件的進度,也增加了證書丟失的風險。 於是就有了為專業開發者團隊準備的公司證書。
2.公司證書:多個開發者團隊***用證書發布不同APP到官方市場,iPhone、iPad用戶仍然從蘋果官方市場下載應用;
3.企業證書:不是所有人都通過公開的互聯網渠道獲得軟件,有企業、組織需要壹些特殊定制的軟件,只限內部使用。開發者為調試程序,可以在企業內網安裝未發行的內部版本。這時,使用企業證書自簽名就更加方便。企業證書在iOS系統的信任名單中,系統允許這些軟件在iOS設備運行。
但是,壹旦企業證書自簽名的軟件流傳到第三方市場,就會在蘋果官方市場之外出現壹個第三方市場。iPhone、iPad不越獄就可以安裝企業證書自簽名的軟件。
企業證書的濫用會造成病毒木馬傳播,在WireLurker病毒傳播之前,曾有某安全廠商濫用企業證書分發軟件,被蘋果註銷企業證書。使用該證書簽名的APP會無法使用,並將該企業的產品下架達壹年之久。
所以,在WireLurker病毒被平底鍋(Palo Alto Networks公司)披露之後,蘋果立刻封殺了WireLurker病毒使用的企業證書。
結論:
1.iOS設備由於軟件下載安裝渠道單壹,惡意程序的傳播壹直難成氣候。使用iPhone、iPad的用戶不必過於擔心安全問題。
2.若非必要,iPhone、iPad的用戶盡可能不越獄。越獄之後,軟件下載渠道和安全性就真的不可控了。
3.軟件開發企業應加強證書管理,壹旦發生濫用證書分發軟件,被蘋果加入黑名單,後果十分嚴重。比如前面提到曾經濫用企業證書被蘋果拉黑軟件下架壹年的案例,開發者應吸取教訓,避免重蹈覆轍。
4.電腦安裝殺毒軟件,切斷從電腦傳播病毒到移動設備的可能。