Китайский вредоносный софт для iOS крадет Apple ID и пароли с устройств с джейлбрейком

Ben Lovejoy | Вторник, 22 апреля, 2014, 02:18.

Avatar for Ben Lovejoy
 | 22 апр. 2014 г. — 4:10 PT

Специалист по безопасности Штефан Эссер (по данным ArsTechnica) обнаружил, что проблема, о которой сообщалось на Reddit как причина сбоев на устройствах с джейлбрейком iPhone и iPad, на самом деле является вредоносным ПО, предназначенным для кражи Apple ID и паролей с зараженных устройств.

Это вредоносное ПО, по всей видимости, китайского происхождения и представляет собой библиотеку под названием Unflod.dylib, которая перехватывает все запущенные процессы устройств с джейлбрейком и прослушивает исходящие SSL-соединения. Из этих соединений оно пытается украсть Apple ID устройства и соответствующий пароль, отправляя их в открытом виде на серверы с IP-адресами, контролируемыми американскими хостинговыми компаниями, обслуживающими, по-видимому, китайских клиентов.

Предварительные данные указывают на то, что источником вредоносного ПО, вероятно, является твик, загруженный откуда-либо, кроме Cydia. Эссер определил, что код работает только на 32-битных устройствах, что означает, что iPhone 5s, iPad Air и iPad mini с Retina-дисплеем безопасны, в то время как другие устройства уязвимы.

В посте в блоге говорится, что проверить наличие вредоносного ПО легко, но удалить его может быть непросто. Используя SSH/Terminal, проверьте путь /Library/MobileSubstrate/DynamicLibraries/ на наличие Unflod.dylib или framework.dylib.

В настоящее время сообщество джейлбрейка полагает, что удаление двоичного файла Unflod.dylib/framework.dylib и последующее изменение пароля Apple ID достаточно для восстановления после этой атаки. Однако до сих пор неизвестно, как динамическая библиотека вообще попадает на устройство, и поэтому также неизвестно, прилагаются ли к ней дополнительные вредоносные «подарки».

Поэтому мы считаем, что единственным безопасным способом удаления является полное восстановление, что означает удаление и потерю джейлбрейка.

Разработчик Cydia Джей Фримен, также известный как Saurik, отметил в Reddit, что добавление случайных URL-адресов для загрузки в Cydia так же рискованно, как открытие вложений, полученных в спам-письмах.