TrollFools：無需越獄的 iOS 安全威脅與防禦策略

TrollFools 是一種允許在 iOS 裝置上注入動態庫和插件的工具，且無需越獄。這使得它成為一種對開發者和使用者來說都值得關注的安全威脅。

TrollFools 是一個“巨魔傻瓜”，允許使用者在非越獄的 iOS 裝置上注入 動態庫和插件，以修改應用程式的行為。

• 受影響系統版本： TrollFools 適用於 iOS 14.0 到 17.0。“可安裝的系統版本iOS 14.0- 17.0”。由於該技術出現的時間不長，穩定版本僅存在 2-3 個月，因此相關案例不多。
• 無需越獄： 相較於以往的攻擊方法，TrollFools 降低了門檻，因為它不需要越獄。僅需要透過TrollStore，即可安裝trollfools “以上的攻擊方式相比以往攻擊的方法減少了越獄步驟並降低了相關的門檻”。

2. TrollFools 的攻擊手法

• UI 查看： 可以查看應用程式的 UI 佈局和相關功能。 “可以針對UI進行查看並可以了解相關的佈局以及相關的功能”
• 數據攔截： 可以攔截與伺服器之間傳輸的數據。 “可以透過工具攔截與Server的相關傳遞數據”
• 自製插件： 可以自行製作攻擊插件進行攻擊。 “自行製作攻擊插件進行攻擊”

3. TrollFools 的應用場景

• 遊戲修改: 欺騙遊戲，繞過遊戲的防護機制，獲得虛擬物品或能力
• 應用功能解鎖: 跳過 VIP 訂閱或解鎖應用內購買。例如，使用 TrollFools 來解鎖小說的 VIP 功能，使其可以免費閱讀並下載內容。

4. 防禦 TrollFools 的挑戰

• 動態庫檢測困難：由於可以將惡意動態庫命名為系統動態庫的名稱，因此基於名稱的白名單方法可能無效。
• 系統版本差異： 不同 iOS 版本中系統動態庫的位置可能會發生變化，使得建立通用的規則變得困難。
• 誤判風險： 在某些情況下，正常的系統動態庫可能會出現在不尋常的位置，導致誤判。
• 沒有取得 process task port 的權限: 在非越獄的場景，無法使用 vm_read 讀取記憶體資料做檢測。

5. 防禦策略

• 白名單機制： 建立動態庫白名單，但要考慮到系統版本差異和惡意動態庫可能偽裝成系統動態庫。
• 樣本上報和分析： 收集和分析被注入的動態庫樣本，以建立特徵檢測規則。
• HOOK 檢測: 嘗試 HOOK 攻擊方會調用的函數來進行檢測。
• 設備風險資訊回傳： SDK 可以檢測設備風險，並將資訊回傳給宿主 APP，讓 APP 自行判斷 SDK 是否可用。
• 加固混淆： 對檢測方法進行混淆，防止攻擊者輕易繞過。
• 針對特定系統版本進行防護： 針對受 TrollFools 影響的 iOS 版本 (例如 iOS 14.0-16.x，以及可能有限支援的 17.0) 進行特定防護。

總結：

TrollFools 代表了一種新的安全威脅，因為它允许在非越獄的 iOS 裝置上进行應用程式修改。有效的防禦需要結合多種策略，包括白名單、樣本分析、特徵檢測，並不斷更新以適應新的攻擊技術。

參考影片連結:
app注入遭到劫持鏡頭

trollfools操作

app遭到注入開通VIP功能

遊戲遭到注入

lightroom app遭注入獲取未購買版本