A napokban a WeipTech kínai technológiai oldal tagjai (köztük egy i_82 nicknevű egyetemista) és a Palo Alto Networks kollégái közösen találtak rá egy iOS-en futó malware-re. A Palo Alto Networks elemzéséből kiderül, hogy a kémprogram-család megalkotói meglehetősen szokásos módon, az emberi tájékozatlanság-figyelmetlenség-kapzsiság hármasára építve érték el, hogy szoftverük mintegy 20 000 iOS-t futtató készülékre felkerüljön, és azokról körülbelül 225 000 Apple ID-t, titkosítási kulcsot és certificate-et lopjon el.
Mi is történt valójában? Ellentétben az interneten máris sebesen terjedő rémhírekkel, a malware-t nem a Cydia vagy bármiféle hivatalos jailbreakelő szoftver tartalmazta. A KeyRaider ugyanis warez útján terjedt. Pontosabban egyes kínai, nemhivatalos Cydia repository-kban fellehető, az alkalmazáson belüli vásárlásokat (In-app Purchases) feltörő, azokat ingyenessé tevő tweakek tartalmazták. A Palo Alto Networks két rosszindulatú tweaket is említ név szerint: az iappstore és iappinbuy nevűeket.
Akit bővebben érdekel a malware működése, annak mindenképpen érdemes elolvasnia a Palo Alto Networks eredeti cikkét. Sajnos tapasztalatunk alapján nem tanácsos a technikai részletek mibenlével kapcsolatosan más forrásból tájékozódni: sok jó hírű online hírforrás ismertette a malware-t, és csaknem minden idevágó cikkben súlyos szakmai, technikai hibákat találtunk.
Aki nem szeretne a technikai részletekben mélyre ásni, annak csak annyit említünk itt meg: a kémprogramok egyes rendszerfolyamatokba és -programokba ágyazták bele magukat (a legitim tweakek által is használt, méltán népszerű Cydia Substrate platform kihasználásával), és lehallgatták a készülékről kimenő internetes lekérdezéseket. Az ellopott jelszavakat és egyéb adatokat ezután a malware írójának saját szerverére töltötték fel (a jelek szerint egy részüket cleartext-ben, a többit pedig mindig ugyanazzal a kulccsal titkosítva).
A malware eddig ismert áldozatai egyébként a világ 18 országából kerülnek ki; értelemszerűen legtöbbjük kínai, de a KeyRaid az Egyesült Államokat, Angliát és Németországot sem kímélte. Magyarországi illetőségű fertőzésről és jelszólopásról egyelőre nem tudni.
A kémprogram szerzője egyébként valószínűleg egy mischa07 felhasználónevű kínai tweakfejlesztő, a KeyRaid malware-t viszont egy másik felhasználó, Bamu által készített vagy “újracsomagolt” alkalmazások és tweakek is terjesztették.
Honnan tudjuk, hogy készülékünk fertőzött-e a KeyRaid-del? Mit tehetünk abban az esetben, ha igen?
A Palo Alto Networks ajánlása szerint a következőket tehetjük:
- Lépjünk be készülékünkre SSH segítségével (vagy telepítsük és nyissuk meg a Mobile Terminal-t).
- menjünk a /Library/MobileSubstrate/DynamicLibraries könyvtárba:
cd /Library/MobileSubstrate/DynamicLibraries - a grep program segítségével keressünk az alábbi szövegekre minden itteni fájlban:
- wushidou
- gotoip4
- bamu
- getHanzi
- Ezt az alábbi parancsokkal tehetjük meg:
grep ‘wushidou’ -irn .
(stb. A pont a parancs végén fontos!)
- Ha bármely dylib vagy plist fájlban kapunk találatot (a fenti 4 string bármelyike szerepel benne), akkor a készülékünk lehet, hogy fertőzött!
- Ha a készülékünk fertőzött, akkor…
- A kérdéses fájlokat (és a hozzájuk tartozó, azonos nevű dylib-eket és plist-eket) töröljük le (például az
rm fájlnév.dylib
parancs kiadásával) - Indítsuk újra a készüléket!
- Változtassuk meg az Apple ID-nk jelszavát – és ha ha az elérhető már az Apple ID-nk esetén, akkor kapcsoljuk be a kétlépcsős azonosítást (2FA)!
- A kérdéses fájlokat (és a hozzájuk tartozó, azonos nevű dylib-eket és plist-eket) töröljük le (például az
És végül az örök tanulság: soha ne telepítsünk megbízhatatlan forrásból gondolkodás és ellenőrzés nélkül mindenféle szoftvert, különösen ne warezt! Emlékezzünk arra, hogy nincsen ingyen ebéd! Természetesen ez nemcsak iOS-készülékeinkre és a cydiás tweakekre, hanem mindenféle számítástechnikai eszközünkre és programra vonatkozólag egy jó iránymutatás lehet.
12 Comments
Én azt mondom, hogy jobb az egész jailbreak témát elfelejteni. Nekem személy szerint nem hiányzik semmilyen tweak vagy mod, pláne a biztonságot kockáztatva. Persze ez csak személyes velemeny
A LocalAppStore az ugye nem?
Az csak annyit csinal, hogy az alkalmazasokban ingyenesse teszi a fizetos ,DLC’-ket/kiegeszitoket!
Hangrogzites pl csak toressel erheto el…taxisoknak alap…
@lalamper: Az üzenet lényege, amelyet a cikkel át szerettünk volna adni, az pontosan az, hogy nem maga a jailbreak kockáztatja a biztonságot; sokkal inkább a megbízhatatlan forrásokból való össze-vissza telepítés.
Aki az apple-t választja az nem a biztonságot hanem a kényelmet választja. Az apple nézi hol vagy és mit csinálsz.. a felhő és az iphone keresése nem csak egy kényelmi funkció. Aki mégis így gondolja az elég naív.
A jailbreak nem jelent veszélyt csak tudni kell használni. Rengeteg hasznos tweak van ami nélkül elég fapados az iphone, de csak hogy párat említsek:
Springtomize (IOS vizuaális testreszabása, ikon méretek, animációk, mappák, értesítési központ, stb..)
Barrel (Ikon animációk lapozáskor),
SBSettings (IOS7-ig egy testreszabható ” Beállítási központ”, jobb mint az apple saját fejlesztésű kacata),
ControlPane (Teljes értékű Controlcenter, nem csak felületes mint a gyári.)
Winterboard ( Témák, testreszabhatod telefonod ha mégsem tetszik a apple által istenített, Jony Ive által kókányolt flat vacak )
Audiorecorder (hívásrögzítés)
iCleanes (fölösleges tartalmak, tempek eltávolítása)
Activator (home/egyéb gomb funkciói) (Hibás nehezen működő gombok esetén nagyon hasznos)
Battery Temperature (Akkumulátor hőmérséklet)
TetherMe (személyes hotspot / testreszabható 3G megosztás )
Ezek a funkciók sok esetben az androidban ugyebár többnyire elérhetők egyszerűbben csak ott meg a rendszer instabil.
Leginkább azok állítják, hogy nincs szükség jailbreakre, akiknek csak azért van okostelefonjuk mert már nem lehet mást kapni, vagy akik csak azért vesznek iphonet hogy csökkentsék a kisebbségi komplexusaikat de talán még appstore regisztrációjuk sincs. Egy átlag vagy tapasztaltabb felhasználó nap mint nap szembe találja magát olyan helyzetekkel amikor használja az ios eszközét és valami funkciót nehezen ér el esetleg egyáltalán nem mert az applenek nem volt fontos, programfejlesztők meg esetleg nem férhettek ezen funkciókhoz. És a legtöbb ilyen problémára megoldást nyújthat egy jailbreak tweak.
Talán ingyenes program nem létezik, annak mindig ára van csak a fizetősnél tudod hogy mi az ingyenesnél meg nem. A fizetősnél, pénzzel fizetsz a programért, az ingyenesnél az idegesítő reklámok nézegetésével míg a hackelt programok lehet hogy az adataidat használják.
@brudav85: ja, tuti megfigyel az Apple. nincs is más dolga. de mégis mi szükség lenne erre? te magad adsz meg egy csomó adatot magadról pusztán azzal, hogy internetezel. gondolom, az emailed is google vagy yahoo vagy outlook.com. gondolom, nézel youtube-videókat. gondolom, használod a google keresőjét. ha meg még facebookozol is, akkor meg pláne. ha attól félsz, hogy megfigyel az Apple, arra is pont jó a jailbreak, mert úgy herélheted ki a rendszert, ahogyan tetszik.
Nem csak az Apple figyel, az összes nagy vállalat csinálja… 😉
Edward Snowden is megmondta. 😉
@AppleFan: és pontosan mit is számít mindez akkor, ha eleve internetezik valaki, nyilvános helyeken hozzászól, stb? az már semmit nem fog számítani, hogy emellé almás-e a készüléke, vagy sem, mert a bárhol megtett internetezésével sokkal egyszerűbben, önként és dalolva ad oda magáról információt.
Nem értek hozzá: ha a telefonom nincs root-olva akkor védve vagyok?
Tzolesz: igen
@tzolesz: még ha jailbreakelt is lenne a készüléked, de nem telepítettél ész nélkül mindenféle ismeretlen forrásokból, és nem warezolsz, szintén nem vagy érintett. a jailbreak önmagában nem tesz lehetséges áldozattá.
Nem értem miért is zavar ez annyira embereket hogy esetleg megfigyelnek minket?! Szükségtelen szerintem mikor Facebookon percenként nyomod fel magadról a sok sz..t es meg azt is megosztom hol es kikkel es mit csinálsz sok Fail! Azt a kidot aki meg itt írja a sok okosat jailbreakrol nem is értem xD Ha n tetszik az iPhone mert annyira szar ha berak élni kell akkor miért azt veszed?! Fail..