كشف يك بدافزار در دستگاه هاي قفل شكسته آيفون و آي پد

شماره: IRCNE2014042171
تاريخ:03/02/93

بدافزاري دستگاه هاي قفل شكسته آيفون و آي پد را آلوده كرده است. اين بدافزار اعتبارنامه هاي حساب كاربري را از ترافيك رمزگذاري شده SSL به سرقت مي برد.
اين تهديد زماني كشف شد كه تعدادي از كاربران گزارش دادند كه به دليل افزونه MobileSubstrate با نام Unflod در اجراي برخي از برنامه ها با مشكل مواجه شده اند.
افزونه MobileSubstrate كه درحال حاضر Cydia Substrate ناميده مي شود يك چارچوب كاري براي دستگاه هاي قفل شكسته مي باشد كه به توسعه دهندگان اجازه مي دهد تا تغييرات iOS را ايجاد نمايند.
Paul Ducklin يك از مديران شركت امنيتي Sophos در پستي در وبلاگ نوشت: Substrate به كاربران اجازه مي دهد تا عملكرد iOS را بر روي دستگاه هاي قفل شكسته در مواردي كه توسط اپل تعمدا ممنوع شده است، تغيير دهند.
به نظر مي رسد كه برخي يك كتابخانه پويا براي Cydia Substrate ايجاد كردند تا به تابع SSLWrite معتبر iOS متصل شود و داده ها را قبل از رمزگذاري شدن و ارسال بر روي ارتباط امن SSL بخواند. اين كتابخانه جعلي Unflod.dylib نام دارد اما هم چنين با نام framework.dylib مشاهده شده است.
پس از اتصال اين كتابخانه به تابع SSLWrite، اين بدافزار ترافيك ها را به منظور يافتن درخواست هاي تاييد هويت مانتيور مي كند. سپس شناسه كاربري و رمز عبور كاربران را از ميان داده ها استخراج كرده و به يكي از دو آدرس IP ثبت شده ارسال مي كند.
هم چنان مشخص نيست كه اين كتابخانه مخرب چگونه بر روي دستگاه هاي قفل شكسته نصب شده است اما كاربران و محققان احتمال مي دهند كه بسته هايي كه از مخزن هاي غيررسمي دريافت مي شود ممكن است منبع آلودگي باشد.
محققان SektionEins اظهار داشتند: در حال حاضر انجمن jailbreak بر اين باور است كه حذف باينري Unflod.dylib/framework.dylib و تعويض رمزهاي عبور شناسه اپل براي حفاظت در برابر حملات اين بدافزار كافي است.