思科Talos团队曾经发过两篇文章（1,2），都是关于恶意移动设备管理（mobile device management，MDM）平台如何将伪装的应用程序加载到智能手机上的，我们对攻击者的方法有了更深入的了解。 [出自:jiwo.org]

在这样的攻击者中，攻击者将iOS设备注册到MDM中，并使用这些设备来控制受害者的设备，他们会将通过伪装的WhatsApp,Telegram和Imo，以及Web浏览器Safari来完成攻击。

在读了这篇文章后，我们就会清楚的知道攻击者如何利用常见的MDM功能，并使用iOS配置文件隐藏和禁用应用程序的合法版本，以伪装的恶意版本替换合法的版本。

经过进一步研究后，研究人员还发现了攻击者会在注册设备上部署配置文件时，滥用iOS设备上存在的年龄分级限制功能，并根据此分级部署相应的恶意应用程序。WhatsApp和Telegram的年龄分别为12岁和17岁以上。如果将年龄分级限制设置为9岁以上后，则已安装的合法应用程序将自动在该设备中消失。

虽然此时，这些应用程序仍然存在于该设备上，但如果用户使用iOS设备上的搜索功能搜索这些应用程序，那用户也无法与其进行交互，因为它根本无法打开。

所有移动设备用户都应该了解这些攻击方法，以防止攻击者通过MDM控制他们的手机。在下面的说明中，我们将教你逐步检查你的手机是否有未经授权的MDM，以及年龄设置是否被人动过手脚。

有关配置文件设置的细节信息

在iOS生态系统中，你可以使用配置文件配置设备。这是一个可以发送到iOS设备的XML文件，例如，使用配置文件执行MDM注册机制。可以使用官方工具Apple Configurator 2轻松创建配置文件。利用这些配置文件，我们可以限制应用程序使用。

此时应用限制仅限于受监管的设备，在研究人员的调查中，已注册的iPhone不在监督模式中，但合法的WhatsApp应用程序消失，这只能迫使用户访问恶意版本的应用，且攻击者使用限制设置来禁止用户使用9岁及以上的应用程序。

以下是恶意MDM上托管的配置文件的XML内容：

<key>ratingApps</key>
<integer>200</integer>
<key>ratingMovies</key>
<integer>1000</integer>
<key>ratingRegion</key>
<string>us</string>
<key>ratingTVShows</key>
<integer>1000</integer>

其中，数字200就相当于是9岁的年龄。

在iOS设备上安装此配置文件后，虽然受年龄等级限制的应用程序将继续显示为安装的状态，但无法再使用或访问，并且图标将从用户界面中消失。如果查看应用商店，你可以看到应用程序仍然显示的是安装状态，但用户却无法启动它。这可以通过控制设备上的限制设置完成。

此时，我们可以看到限制显示为“禁用”，这就是文本为灰色的原因。但实际上，它已启用。

如果通过手动安装配置文件，或通过Safari打开配置文件XML，那么在设置>常规>配置文件菜单中，就会显示一个新条目。如果MDM部署配置文件，因为MDM注册配置文件会出现，则这个新条目就不会显示出来。

如何检查IPHONE配置文件

在下面的视频中，研究人员将向你展示攻击者如何通过注册恶意MDM平台来获取对手机的访问权限。仔细看视频，你会注意到其中涉及到相当多的用户交互。但是，如果攻击者可以通过电话正确的对用户进行社交工程，或者他们可以对设备进行物理访问，则可以快速有效的进行注册。

先看这个视频，该视频从终端用户的角度向我们展示了注册过程，研究人员是在运行Apple最新的11.4.1 iOS的iPhone X上进行了这项测试，这是一款全新的iOS系统iPhone X，使用的测试电话没有以任何方式进行过越狱或篡改。

正如你在视频中看到的那样，用户已接受两个INSTALL / TRUST流程，以允许手机注册。一旦研究人员成功将手机注册到恶意MDM中，他们就可以将配置文件和应用程序传播到设备上。为了达到这个目的，研究人员推出了一款设定了年龄限制的应用程序，如上所示，这意味着已安装的合法WhatsApp应用程序消失了，并且通过已注册的MDM访问，就可以启动WhatsApp的恶意版本。

需要说明的是，在MDM中不存在用于注册手机的恶意软件、漏洞。MDM是一种合法的设备管理方法，全世界的企业都在使用，攻击者只是利用了这个设备管理方法而已。

Talos建议用户使用以下方法检查手机是否具有其他配置文件或是否已在MDM平台中注册：

1.用户可以在设置>常规>配置文件和设备管理> [MDM配置]>限制中查看MDM配置文件设置的限制；

2.用户还可以在设置>常规>配置文件和设备管理> [MDM配置]>应用程序中检查其设备上安装的MDM配置文件；

注意：如果你的设备上没有可用的配置文件和设备管理菜单选项，则表示手机当前未注册MDM，手机上也没有任何其他配置文件可信任。

如果可能，建议你看一下此视频。

总结

一提到自己的手机被攻击了，大多数用户通常会认为他们需要下载补丁来修复漏洞。但是，有些攻击并不是利用的漏洞。相反，攻击者使用的是现有的合法功能，以隐藏受害者的合法应用程序，趁机部署恶意应用。

MDM可以在用户不知情的情况下，部署配置文件。因此，强烈建议审核iPhone配置文件并删除可疑配置文件。此外，你可以查看手机上的限制菜单，以验证是否配置了应用程序的年龄限制。