Μια αγνώστου προέλευσης επίθεση εναντίον jailbroken συσκευών της Apple έχει σαν αποτέλεσμα
την υποκλοπή των Apple account credentials μέσα από SSL κρυπτογραφημένη κίνηση δεδομένων.
Η απειλή ανακαλύφθηκε μετά από αναφορές χρηστών στο Reddit ότι αντιμετώπισαν κατάρρευση (crash) μερικών....
εφαρμογών εξαιτίας ενός πρόσθετου MobileSubstrate με το όνομα Unflod.
Το MobileSubstrate, πλέον ονομαζόμενο Cydia Substrate, είναι ένα framework για συσκευές που έχουν υποστεί jailbreak, το οποίο επιτρέπει στους προγραμματιστές να τροποποιούν το λειτουργικό σύστημα iOS.
This 'substrate' allows you to extend and to modify the behaviour of iOS in ways that are deliberately prohibited by Apple on unjailbroken devices, such as by hooking, or intercepting, system functions to make them do new and interesting (though sadly also perhaps dangerous) things.
Όπως φαίνεται, κάποιος δημιούργησε μια δυναμική βιβλιοθήκη για το Cydia Substrate το οποίο επεμβαίνει στη συνάρτηση SSLWrite του iOS και διαβάζει δεδομένα πριν αυτά κρυπτογραφηθούν και αποσταλούν μέσω μιας ασφαλούς σύνδεσης με SSL. Αυτή η παρείσακτη βιβλιοθήκη ονομάζεται Unflod.dylib, αν και έχουν παρατηρηθεί παραλλαγές της με την ονομασία framework.dylib.
Μετά την επέμβαση στη συνάρτηση SSLWrite, το κακόβουλο λογισμικό ελέγχει την κίνηση για authentication requests προς τους servers της Apple. Κατόπιν απομονώνει τα Apple IDs και τους κωδικούς από τα δεδομένα και τα αποστέλλει σε μία από δύο διευθύνσεις IP που είναι καταγεγραμμένες μέσα στον κώδικα.
Δεν έχει ακόμη καταστεί σαφές με ποιον τρόπο εγκαθίσταται η κακόβουλη βιβλιοθήκη Unflod.dylib στις jaibroken συσκευές, αλλά χρήστες και ερευνητές υποστηρίζουν την πιθανότητα η προέλευση της μόλυνσης να προέρχεται από πακέτα σε μη εγκεκριμένα repositories.
Υπάρχει επίσης μια περιστασιακή ένδειξη που καταδεικνύει κινεζική συμμετοχή: η κακόβουλη βιβλιοθήκη φέρει ψηφιακή υπογραφή μέσω έγκυρου πιστοποιητικού ανάπτυξης εφαρμογών που έχει εκδοθεί από την Apple το Φεβρουάριο σε άτομο με όνομα Wang Xin.
«Το άτομο αυτό θα μπορούσε να είναι μια ψεύτικη περσόνα, ένα θύμα κλοπής πιστοποιητικού ή και πραγματικά εμπλεκόμενο», ανέφεραν οι ερευνητές της SektionEins. «Είναι αδύνατο να γνωρίζουμε εμείς, όμως η Apple θα πρέπει να είναι σε θέση να ερευνήσει αυτήν την πληροφορία και να διακόψει το συγκεκριμένο λογαριασμό.»....
Διαβάστε περισσότερα στο: www.adslgr.com