AceDeciever: برنامج خبيث بإمكانه إصابة أي هاتف آيفون

مارس 31, 2016

عادة ما ينظر مستخدمو Apple iPhone إلى هواتفهم على أنها حصون منيعة قامت شركة Apple بتصميمها: فمن المعروف أن أجهزة iPhone تتمتع بدرجات أمان عالية، وخصوصاً عند مقارنتها بالأجهزة التي تعمل بنظام Android. نعم، فإن أجهزة iPhone أكثر أماناً بالفعل من الهواتف التي تعمل بنظام Android، ولكن ذلك لا يعني أنها آمنة تماماً. فكما نعرف، لا يوجد حصن لا يمكن فتحه.

apple-vulnerability-2-FB-2

ومع أننا لم نقم بتغطية تهديد iOS‏ واحد فحسب بل قمنا بتغطية العديد من التهديدات الخطيرة لنظام iOS، فضلاً عن تقديم بعض النصائح المتعلقة بتأمين الأدوات الذكية المقدمة من شركة Apple. إلا أن البرمجيات الخبيثة المهددة لنظام iOS تستمر في الظهور حيث تم اكتشاف آخر صور البرمجيات الخبيثة بواسطة “بالو ألتو نتوركس” والتي تبدو أنها من أخطر البرمجيات الخبيثة حتى الآن.

لماذا تُعد تلك البرمجيات الخبيثة من أخطرها؟ لأنها تقوم بكسر حماية نظام iOS أو تستخدم شهادة شركات مسروقة لتثبيت البرمجيات الخبيثة. ويطلق على عائلة البرمجيات الخبيثة الجديدة اسم “AceDeciever” حيث إنها قادرة على اختراق الكثير من الأجهزة التي تعمل بنظام iOS.

النيات الطيبة وحدها لا تكفى

بدأ الأمر بفكرة جديدة لشخص ما بتقديم البرامج للمستخدمين مجاناً. وفي هذه المرحلة، كانت هناك وسيلة ما لقرصنة تطبيقات نظام iOS وتُعرف باسم هجمات “رجل في الوسط بتقنية FairPlay” ((FairPlay MITM. لن نستغرق المزيد من الوقت هنا لشرح مفهوم هجمات رجل في الوسط – حيث يمكنك التعرف عليها من المنشور المخصص هنا. ونود التركيز هنا للتعرف على تقنية FairPlay وكيفية عمل برنامج AceDeciever فعلياً.

تستخدم شركة Apple تقنية FairPlay في حماية إدارة الحقوق الرقمية (DRM) لعرض المقاطع الموسيقية ومقاطع الفيديو فضلاً عن التطبيقات الخاصة بنظام iOS. ويقوم مستخدمو أجهزة iPhone -على الأرجح -بشراء التطبيقات من برنامج iTunes المتوفر على أجهزة الكمبيوتر الخاصة بهم ومن ثم يقومون بنقلها إلى هواتفهم. وبالتأكيد، فإن هذه العملية تتطلب إثباتاً على أن المستخدم قد قام بشراء التطبيق بالفعل. ويتم تقديم هذا الإثبات من خلال رمز التصديق الذي يصدره برنامج iTunes لكل تطبيق، وهذه هي كيفية عمل تقنية FairPlay.

لكل تطبيق رمز واحد يصدره البرنامج؛ لذا في حالة إلغاء تثبيت التطبيق في أي وقت، يمكنك استخدام الرمز نفسه لتثبيت التطبيق لمرات عديدة على أجهزة iPhone وiPad. فهذا هو أساس عمل هجمات FairPlay MITM.

acedeciever-mitm-2

التطبيق ذو الوجهين

وقد تم تطوير هذه الوسيلة مؤخراً لتصميم متجر تطبيقات القرصنة المتكامل؛ حيث كان يُعتمَد على برنامج تشغيل Windows والمعروف باسم Aisi Helper والذي تم استخدامه في بادئ الأمر لكسر حماية أجهزة iPhone، ونسخ البيانات احتياطياً، وإعادة تثبيت نظام iOS. وأُضيفت أيضاً وظيفة جديدة إلى هذا التطبيق – فبدأ توفير تطبيق يحمل نفس الاسم في أي جهاز iPhone متصل بجهاز كمبيوتر باستخدام تطبيق Aisi Helper المثبت عليه. سيقوم التطبيق بعرض العديد من التطبيقات التي تعرضت للقرصنة والتي يتمكن المستخدمون من تحميلها مجاناً.

والغريب في الأمر، أنه تم تثبيت تطبيق Aisi Helper نفسه على أجهزة iPhone باستخدام تقنية FairPlay الخاصة بهجوم رجل في الوسط. وكان ذلك هو السبب في توفير تطبيق Aisi Helper لمستخدمي تطبيقات أجهزة iPhone التي بحاجة إلى تحميلها على متجر التطبيقات “App Store” أولاً، للحصول على رمز المصادقة المشروعة لهذا التطبيق. وكانت المشكلة تكمن في أن شركة Apple لا تفضل وجود متاجر تطبيقات القرصنة في متجر التطبيقات “App Store”.

ولتضليل مراجعي رمز Apple، يتظاهر تطبيق Aisi Helper بأنه تطبيق خلفيات غير ضار ومجاني. ولضمان عدم اكتشاف أي شخص للحقيقة، يستخدم المهاجمون خدعاً مزدوجة. فمن ناحية، يقومون بنشر إصدارات لهذا التطبيق في متاجر التطبيقات المتوفرة في الولايات المتحدة والمملكة المتحدة، بعيداً عن متناول المستخدمين الصينيين. وعلى الصعيد الآخر، عند إطلاقه للمرة الأولى يقوم التطبيق بفحص مواقع الهواتف والتأكد من عدم وجودها في الصين، ويعرض الخلفيات فقط (ويقومون بهذه الحيلة منذ ذلك الحين).

ومن ثم يعرض التطبيق واجهة المستخدم الحقيقية لمتجر القرصنة على مراجعي رمز متجر التطبيقات في الولايات المتحدة فضلاً عن أن التعرف العشوائي لأي مستخدم موجود في الصين أمر مستبعد للغاية. فلن يلاحظ أي شخص مطلقاً أن هذا التطبيق يهدف إلى أكثر من كونه مجرد تطبيق لإعداد الخلفيات.

 

لذا تعمل شركة Apple حالياً على إزالة جميع إصدارات تطبيق Aisi Helper من متجر التطبيقات “App Store”. ولا يعني ذلك نهاية تأثير هذا البرنامج الخبيث. ولإجراء هجوم رجل في الوسط بتقنية FairPlay فلستَ في حاجة إلى وجود التطبيق على متجر التطبيقات “App Store”. حيث يتطلب الأمر وجود التطبيق مرة واحدة فقط في المتجر. وهذا هو بالفعل ما يحدث من خلال برنامج Aisi Helper “تطبيقات متجر القرصنة/ الخلفيات”.

المتجر غير العادل

إذاً فما هو الخطأ المتعلق بمتجر تطبيقات القرصنة بغض النظر عن القضايا القانونية والأخلاقية؟ حسناً، إذا ما أخبرك شخص ما بما يلي: “لقد قمت بسرقة شيء ما وأقدمه إليك الآن مجاناً،” – إنك لن تصدق هذا الأمر مطلقاً، حيث إن فرص خداعك في هذه العميلة تصل إلى نسبة 99,9%.

وهذا هو بالضبط ما يحدث مع هذا التطبيق. كان هذا التطبيق ضاراً لمستخدميه لفترة من الوقت. ولكن في مرحلة محددة، بدأت هذه التطبيقات في طلب معلومات تسجيل الدخول وكلمات المرور الخاصة بهم “للحصول على المزيد من المزايا”. وبعد ذلك يتم تحميل بيانات الاعتماد هذه إلى خادم الأوامر AceDeciever.

لذا أعتقد أنه أضحى من الواضح الآن سبب حديثنا عن برنامج AceDeciever هنا في مدونة Kaspersky Daily. ولم يتم تصحيح الخطأ الموجود في تقنية FairPlay حتى الآن. وحتى في حالة تصحيحه، فقد يظل إصدار نظام تشغيل OS الأقدم عرضة للاختراق من هجمات مماثلة.

وبعد ما سبق، كيف أحمي نفسي من هذا البرنامج الخبيث؟

الجيد في هذا الأمر أن هذا الهجوم لا يستهدف الأشخاص الموجودين خارج دولة الصين. إلا أن السيئ في الأمر أنه يسهل على المهاجمين اختراق هذه الثغرة الأمنية مرة أخرى وتصميم برامج خبيثة جديدة أكثر ضرراً قد تستهدف بلداناً أخرى. وهذا يعني أن العيش في دولة الصين أم في غيرها سيان؛ لذا فإننا نقترح عليك القيام بما يلي:

  • لا تحاول كسر حماية هاتف iPhone الخاص بك. فإن هذا الإجراء غير آمن تماماً، وكما ترون، فإن أي برنامج يطلب هذا الإجراء يكون غير آمن أيضاً.
  • إننا نوصي دائماً باستخدام هذه القاعدة للتعامل مع تطبيق Google Play، ولكنه يبدو مناسباً أيضاً لبرنامج App Store: انتبه دائماً للتطبيقات التي تقوم بتثبيتها. أثبت مصممو برنامج AceDeceiver أن مراجعي رمز Apple قد يسمحون بمرور هذه الخدعة اللعينة. وللأسف، فإن برامج الحماية من الفيروسات غير مسموح باستخدامها في نظام iOS؛ لذا بمجرد دخول أحد البرمجيات الخبيثة، فعليك مواجهتها بمفردك.

ولحسن الطالع، يمكنك حماية الأجهزة الأخرى الخاصة بك. وكن واثقاً من امتلاكك حلولاً أمنية جيدة في أي مكان تذهب إليه. ففي هذا المثال، قد يعمل برنامج الحماية من الفيروسات المتوفر على جهاز الكمبيوتر على كشف تطبيق Aisi Helper على أنه برنامج AceDeciever الخبيث.