中国人开发滥用苹果应用程序测试证书要安装盗版应用程序

最近在Apple的官方商店找到的中国iOS应用程序包含隐藏的功能，允许用户在非越狱设备上安装盗版应用程序。其创建者利用了一个相对较新的功能，让iOS开发人员获得有限的应用程序部署和测试的免费签名证书。

iOS的恶意软件程序数量非常低，直到现在主要是因为苹果对其生态系统的严格控制。尚未越狱的设备 - 删除了其安全限制 - 只允许从官方App Store获得的应用程序，并在苹果公司审查和批准后。

企业有一个单独的方法，用于将内部开发的应用程序分发到IOS设备，而无需在App Store上发布它们，但它依赖于通过Apple Developer Enterprise程序获得的特殊签名证书。

Enterprise证书已被用于在过去的非越狱IOS设备上安装恶意软件，并且它是使用新找到的中文应用程序的技术之一，该技术称为Zerghelper或XY Helper。但是，它不是最有趣的。

根据安全公司Palo Alto Networks的研究人员，Zerghelper还滥用了个人开发证书，Apple在9月发布了Xcode 7.0引入了一种新型的签名证书。Xcode是主要的工具或集成开发环境（IDE） - 用于开发IOS和Mac OS X应用程序。

从Xcode 7开始，开发人员可以构建应用程序，签名并使它们在自己的设备上运行，而不在App Store中发布它们。这使得在不参加Apple的开发人员计划的情况下更容易测试应用程序，每年需要99美元的订阅。

要生成个人开发证书，应用程序制造商必须使用连接到计算机的手机的Xcode。Xcode从Apple获取证书的确切过程并未被公开记录，但Zerghelper创作者似乎已删除。

“我们认为有人详细讨论了逆向Xcode，以分析这一部分的代码，以便他们可以实现与Xcode的完全相同的行为 - 实际上，成功地欺骗了Apple的服务器，”Palo Alto Networks研究人员在一个博客文章中表示。

在去年发布的功能发布后，有些人表示担忧，攻击者可能会滥用它以创建和分发恶意软件到非越狱设备。研究人员说，Zerghelper确实可能突出了它的滥用潜力“以广泛的自动化方式”。

事实上，有人最近在一个热门的中国安全论坛上销售代码，可以自动注册Apple ID，然后为他们生成个人开发证书。研究人员表示，此帖子已被删除。

Zerghelper还向用户提供免费的Apple ID，并不清楚这些ID来自其他设备以及应用程序是否从其他设备窃取它们。该应用程序在10月底之前在官方App Store中提供，直到星期六，当Apple删除了Palo Alto网络后删除了。

该公司的研究人员在Zerghelper中发现了迄今为止没有明确的恶意行为，其主要目标是充当替代应用商店，允许用户在没有越狱的IOS设备的情况下安装破解的游戏和其他盗版的应用程序。

它的创造者似乎通过使用简单的技巧欺骗了苹果的审阅者。该应用程序根据“Happy Daily English”名称（中文）提交给App Store，并作为学习英语的帮助应用程序。

一旦安装在手机上，应用程序表现为如果用户的IP（Internet协议）地址来自中国大陆外，则表现为宣传。但是，如果地址来自中国，则会出现不同的界面，将通过安装供应配置文件来指导用户。这类似于设备在注册到移动设备管理系统时经历的过程。

完成后，用户可以从备用App Store安装应用程序。其中一些与被盗的企业证书签署，但其他人签署了Xcode免费生成的新个人开发证书。

“我们不知道App Store Reviewers所在的位置，”Palo Alto Networks研究人员说。“如果他们不在中国大陆，这种方法可以欺骗他们看到合法的应用程序。即使他们在中国，作者也可以在审查期间关闭该网页，以便审阅者通过分析其行为无法看到实际功能。“

该应用程序还使用了另一种越来越多的流行技术，允许开发人员动态地改变他们的应用程序“代码，而不将新版本提交给官方应用商店以进行审查。这是通过集成一个名为WAX的框架来完成的，该框架桥接Lua脚本到原生IOS Object-C方法。

虽然Zerghelper不是恶意软件本身，但它使用的技术可以激发未来的恶意攻击。被盗的企业Certficates过去已被滥用，但Zerghelper通过自动生成免费的个人开发证书进一步迈出一步。

“这是令人担忧的，因为滥用这些证书可能是未来攻击的第一步，”Palo Alto Networks研究人员说。