Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/04/2014
Malware roba informació de dispositius Apple amb jailbreak
El programari maliciós Unflod roba els ID dels comptes d’Apple i les contrasenyes des del tràfic xifrat SSL. Unflod crea una biblioteca de Cydia que s’enganxa a la funció d’iOS SSLWrite per a llegir les dades. Es creu que l’única manera segura d’eliminació és una restauració completa, i perd jailbreak.
Un nou programari maliciós, d’origen encara sense determinar, ha infectat iPhones i iPads amb jailbreak per a robar els ID dels comptes d’Apple i les contrasenyes des del tràfic xifrat SSL.
L’amenaça va ser descoberta després que alguns usuaris publicaren en Reddit que havien experimentat problemes en algunes aplicacions, com a resultat d’un complement misteriós anomenat Unflod.
"Unflod permet ampliar i modificar el comportament d’iOS de formes que han sigut prohibides per Apple en dispositius amb jailbreak, com enganxar o interceptar les funcions del sistema perquè ho facen coses noves i interessant (encara que per desgràcia també potser perilloses)", va escriure Paul Ducklin, cap de Tecnologia per a Àsia i Oceania del proveïdor d’antivirus Sophos.
Sembla que es va crear una biblioteca dinàmica de Cydia que s’enganxava a la funció legítima d’iOS SSLWrite per a llegir les dades abans que es xifren i s’envien a través d’una connexió segura SSL. La biblioteca falsa s'anomena Unflod.dylib, però també s’han observat casos amb el nom framework.dylib. “L’elecció del nom, per tant, podria ser només un intent d’ocultar-ho a la vista", segons han informat investigadors de la consultora alemanya SektionEins.
Després de connectar amb la funció SSLWrite, el tràfic de monitors de programari maliciós per a les sol·licituds d'autenticació amb els servicis d’Apple, extrau les dades dels ID d’Apple i contrasenyes, i els envia a una de les dos adreces codificades d’IP (Protocol d’Internet). No està clar com la biblioteca maliciosa Unflod.dylib s'instal·la en els dispositius amb jailbreak, però els usuaris i els investigadors parlen de la possibilitat que els paquets no oficials podrien ser la font d’infecció.
També hi ha alguna evidència circumstancial que apunta a una connexió xinesa, la biblioteca està firmada digitalment amb un certificat de desenrtotllador legítim emés per Apple al febrer d'algú anomenat Wang Xin. "Esta persona podria ser un personatge fals, víctima d’un robatori de certificat o realment un involucrat", han assegurat des de SektionEins. "Per a nosaltres és impossible saber-ho, però, Apple ha de ser capaç d’investigar a partir d’esta informació i posar fi a eixe compte de desenrotllador."
"En l’actualitat la comunitat de jailbreak creu que la supressió del /binari framework.dylib Unflod.dylib i després canviant la contrasenya de l’ID d’Apple és suficient per a recuperar-se d’este atac", han dit els investigadors. "No obstant això, encara es desconeix com la biblioteca maliciosa acaba en el dispositiu i per tant també es desconeix si hi ha parts de programari maliciós addicionals. Per tant, creiem que l’única manera segura d’eliminació és una restauració completa, la qual cosa significa l’eliminació i la pèrdua de jailbreak".