安全專家宣布發(fā)現了一個活躍的惡意軟件程序,它會從已越獄的iPhone和iPad設備里竊取蘋果ID證書。這款名為unflod的惡意軟件于上周首次出現在兩個reddit線程里。用戶報告稱他們已越獄的IOS設備近期開始頻繁發(fā)生崩潰,且常發(fā)生在安裝了名為tweaks的越獄特有的自定義之后,后者并不屬于官方Cydia資源庫的一部分。
自首次發(fā)現這款惡意程序后,安全研究人員斯特凡·埃塞爾(Stefan Esser)對遭受了unflod病毒攻擊的設備的二進制代碼進行了靜態(tài)分析。埃塞爾在博客中解釋稱,unflod會進入被感染設備的安全框架的SSLWrite功能,然后掃描伴隨著傳輸至蘋果服務器的蘋果ID和密碼的字符串。一旦發(fā)現了這些證書,它們便被傳輸回由攻擊者控制的服務器內。
埃塞爾表示,惡意代碼只運行在已越獄的32位IOS設備里。“在我們獲得的文件庫副本里,尚未發(fā)現有64位版本的惡意代碼。這意味著惡意軟件應該無法侵入iPhone5S、iPad Air或者iPad mini2G。”
reddit用戶表示檢測自己設備是否受到unflod病毒的感染非常簡單:只要打開SSH/Terminal,搜索文件夾/Library/MobileSubstrate/DynamicLibraries,尋找是否存在Unflod。dylib即可判斷。受感染的設備可以刪除動態(tài)文件庫逃過此劫,由于目前尚未查明這些惡意文件最初是如何安裝的,因此無法保證日后它不會重新出現。
“這便是我們推薦修復設備的原因?!?埃塞爾說道?!叭欢@意味著用戶的設備將無法越獄,只能等待新的越獄版本的發(fā)布。” 埃塞爾還推薦用戶立即更改蘋果ID和密碼。
反病毒公司Sophos的研究人員也分析了unflod病毒,并強調了在已越獄的iPhone手機上安裝未知的應用程序所帶來的風險?!拔冶仨毥璐酥赋觯瑄nflod病毒來自默認Cydia資源庫的概率是非常低的?!盋ydia軟件商店運營者杰·弗里曼(Jay Freeman)這樣說道。“我并不推薦用戶在Cydia上隨意添加網站鏈接或從不信任的用戶發(fā)來的網址里隨意下載軟件。”
蘋果iPhone5S |
蘋果手機 | ||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|