安全專家宣佈發現了一個活躍的惡意軟體程式,它會從已越獄的iPhone和iPad設備里竊取蘋果ID證書。
這款名為unflod的惡意軟體於上周首次出 現在兩個reddit線程里。
用戶報告稱他們已越獄的iOS設備近期開始頻繁發生崩潰,且常發生在安裝了名為tweaks的越獄特有的自定義之後,後者並 不屬於官方Cydia資源庫的一部分。
自首次發現這款惡意程式後,安全研究人員斯特凡·埃塞爾(Stefan Esser)對遭受了unflod病毒攻擊的設備的二進制代碼進行了靜態分析。
埃塞爾在博客中解釋稱,unflod會進入被感染設備的安全框架的SSLWrite功能,然後掃描伴隨著傳輸至蘋果服務器的蘋果ID和密碼的字元串。
一旦發現了這些證書,它們便被傳輸回由攻擊者控制的服務器內。
埃塞爾表示,惡意代碼只運行在已越獄的32位iOS設備里。
“在我們獲得的文件庫副本里,尚未發現有64位版本的惡意代碼。
這意味著惡意軟體應該無法侵入iPhone5S、iPad Air或者iPad mini 2G。”
reddit用戶表示檢測自己設備是否受到unflod病毒的感染非常簡單:只要打開SSH/Terminal,搜索文件夾/Library/MobileSubstrate/DynamicLibraries,尋找是否存在Unflod.dylib即可判斷。
受感染的設備可以刪除動態文件庫逃過此劫,由於目前尚未查明這些惡意文件最初是如何安裝的,因此無法保證日後它不會重新出現。
“這便是我們推薦修復設備的原因。” 埃塞爾說道。“然而,這意味著用戶的設備將無法越獄,只能等待新的越獄版本的發布。” 埃塞爾還推薦用戶立即更改蘋果ID和密碼。
反病毒公司Sophos的研究人員也分析了unflod病毒,並強調了在已越獄的iPhone手機上安裝未知的應用程式所帶來的風險。
“我必須藉此指出,unflod病毒來自默認Cydia資源庫的概率是非常低的。”Cydia軟體商店運營者傑·弗里曼(Jay Freeman)這樣說道。
“我並不推薦用戶在Cydia上隨意添加網站鏈接或從不信任的用戶發來的網址里隨意下載軟體。”
- Apr 26 Sat 2014 15:37
【★╮越獄iPhone惡意代碼只運行於32位iOS設備╭★】
close
文章標籤
全站熱搜
留言列表