安全企业Lookout指出,过去在Android平台上肆虐的间谍程序Exodus已被移植到iOS平台上,且利用苹果专为大型企业设计的Apple Developer Enterprise Program诱导用户下载及安装,尽管iOS版的Exodus不如Android版的强大,但它依然能够窃取iOS设备上的通讯录、照片、GPS位置、设备信息,甚至是远程窃听。
安全无疆界(Security Without Borders)组织率先在去年6月披露了Exodus,当时它主要锁定Android设备,伪装成各式电信运营商的服务程序,还成功登上了Google Play ,但受害者全都位于意大利。
Lookout则说,Exodus不仅使用凭证绑定、以公钥加密与远程控制暨命令服务器的传输、特定阶段设有区域限制,而且还具备完整的监控能力。
不管是安全无疆界或Lookout都关注到Exodus是源自于意大利的eSurv及Connexxa,前者是一家提供视频监控软件及图片识别系统的企业,且这两家企业拥有同样的创办人。 Google已在去年下半年移除了Google Play上与Exodus有关的移动程序,但它现在却重新现身于iOS平台。
不过,Exodus并非通过App Store传播,而是滥用了苹果的Apple Developer Enterprise Program,该项目允许企业打造私有程序以供员工使用,而且只需要满足诸如是家真正的企业、具备Apple ID及拥有DUNS号码等规定就能申请。
于是,黑客伪造了意大利与土库曼斯坦的电信企业网站,在网站上提供了假冒为电信服务的IPA(iOS App Store Package)程序,相关的IPA程序皆含有具备企业凭证的行动供应配置文件,因而得以通过App Store以外的网站传播。
虽然iOS版的Exodus不如Android版强大,也只具备Android版的部分功能,但它依旧能窃取用户设备上的通讯录、录音、照片、视频、GPS位置、设备信息,或是执行远程窃听等,同时它也能在用户毫无发现的情况下自行启动。
苹果在收到Lookout的通知后已撤销了相关程序所采用的凭证。