蘋果元素-台南店

安全專家宣佈發現了一個活躍的惡意軟體程式，它會從已越獄的iPhone和iPad設備里竊取蘋果ID證書。

這款名為unflod的惡意軟體於上周首次出 現在兩個reddit線程里。

用戶報告稱他們已越獄的iOS設備近期開始頻繁發生崩潰，且常發生在安裝了名為tweaks的越獄特有的自定義之後，後者並 不屬於官方Cydia資源庫的一部分。

自首次發現這款惡意程式後，安全研究人員斯特凡·埃塞爾（Stefan Esser）對遭受了unflod病毒攻擊的設備的二進制代碼進行了靜態分析。

埃塞爾在博客中解釋稱，unflod會進入被感染設備的安全框架的SSLWrite功能，然後掃描伴隨著傳輸至蘋果服務器的蘋果ID和密碼的字元串。

一旦發現了這些證書，它們便被傳輸回由攻擊者控制的服務器內。

埃塞爾表示，惡意代碼只運行在已越獄的32位iOS設備里。

“在我們獲得的文件庫副本里，尚未發現有64位版本的惡意代碼。

這意味著惡意軟體應該無法侵入iPhone5S、iPad Air或者iPad mini 2G。”

reddit用戶表示檢測自己設備是否受到unflod病毒的感染非常簡單：只要打開SSH/Terminal，搜索文件夾/Library/MobileSubstrate/DynamicLibraries，尋找是否存在Unflod.dylib即可判斷。

受感染的設備可以刪除動態文件庫逃過此劫，由於目前尚未查明這些惡意文件最初是如何安裝的，因此無法保證日後它不會重新出現。

“這便是我們推薦修復設備的原因。” 埃塞爾說道。“然而，這意味著用戶的設備將無法越獄，只能等待新的越獄版本的發布。” 埃塞爾還推薦用戶立即更改蘋果ID和密碼。

反病毒公司Sophos的研究人員也分析了unflod病毒，並強調了在已越獄的iPhone手機上安裝未知的應用程式所帶來的風險。

“我必須藉此指出，unflod病毒來自默認Cydia資源庫的概率是非常低的。”Cydia軟體商店運營者傑·弗里曼(Jay Freeman)這樣說道。

“我並不推薦用戶在Cydia上隨意添加網站鏈接或從不信任的用戶發來的網址里隨意下載軟體。”