技术分析:越南部分银行 App 不当使用 iOS 私有 API
原文标题: Technical Analysis - Improper Use of Private iOS APIs in some Vietnamese Banking Apps
来源: Verichains Blog
https://blog.verichains.io/p/technical-analysis-improper-use-of
1. 概述 (Overview)
Verichains 安全实验室近期发布了一份关于越南部分银行移动应用(App)的技术分析报告。报告指出,某些银行 App 存在滥用 iOS 私有 API(Private APIs)的行为,利用侧信道(Side Channel)漏洞来检测用户设备上安装的其他应用程序。
这种行为不仅违反了 Apple App Store 的审核政策,还对用户的隐私构成了严重威胁。
2. 背景 (Background)
本次分析的起因是社交媒体上出现了一些关于 Verichains 旗下 BShield Mobile Security 解决方案的误解和质疑。为了澄清事实并保护公司声誉,Verichains 对涉及的银行 App 进行了深入的逆向工程和技术审计。
3. 受影响的应用 (Affected Applications)
分析主要针对以下版本的银行应用:
- BIDV SmartBanking (版本 v5.2.62, 更新于 2025年3月14日)
- Agribank Plus (版本 v5.1.8, 更新于 2025年3月25日)
4. 技术细节 (Technical Details)
侧信道漏洞利用 (Side Channel Exploitation)
研究人员发现,上述应用利用了一个特定的 iOS 私有 API 侧信道问题。
- 机制:通过该侧信道,App 可以探测设备上是否存在特定的 Bundle ID(应用包名)。
- 范围:攻击者可以准备一份流行应用(如 Tinder、竞争对手银行 App、加密货币钱包等)的 Bundle ID 列表,并逐一“枚举”检查用户是否安装了这些应用。
- 适用环境:该漏洞利用无需越狱(Non-jailbroken),在当时的最新版 iOS 系统上依然有效。
并不是为了检测越狱
通常 App 检测已安装应用是为了判断设备是否越狱(例如检测 Cydia 等越狱工具)。但 Verichains 指出,这些银行 App 的实现方式不仅限于检测越狱工具,其能力覆盖了 App Store 中的普通应用,属于滥用行为。
5. 风险与影响 (Risks & Implications)
1. 严重侵犯用户隐私
- 用户画像 (Profiling):通过获知用户安装了哪些 App,银行或恶意方可以构建详细的用户画像(例如:通过安装了健康 App 推断医疗状况,通过安装了特定旅游 App 推断消费习惯等)。
- 未经授权的监控:用户通常认为应用之间是隔离的(沙盒机制),这种探测行为打破了用户对隐私的预期。
2. 违反 Apple App Store 政策
- 私有 API 禁令:Apple 严格禁止在 App Store 上架的应用使用非公开(Private)API。
- 下架风险:此类违规行为一旦被 Apple 官方确认,相关 App 面临被立即下架的风险,这可能导致数百万银行用户无法使用手机银行服务。
3. Apple 安全赏金计划
根据 Apple Security Bounty Program,此类通过用户安装的 App 进行设备攻击并获取敏感数据(应用安装列表)的行为,可能属于“未经授权访问敏感数据”类别,具备一定的漏洞赏金价值。
6. 结论 (Conclusion)
Verichains 强调,这种通过滥用私有 API 来扫描用户已安装应用的行为是不可接受的。它不仅违反了平台规则,更损害了用户的信任。
- 对开发者建议:应严格遵守 Apple 的开发规范,避免使用私有 API,尊重用户隐私。
- 澄清:Verichains 声明该违规行为与 BShield SDK 无关,这是 App 开发者自行实现或集成了其他第三方不合规代码的结果。
检测bundleID安装路径是否有效的一个开源项目
https://github.com/C4ndyF1sh/iChecker
看起来是对检测是否安装巨魔,增加了一种防御的手段罢了