WireLurker: ha warezolsz, semmin se csodálkozz

Nem hinnénk, hogy túl nagy újdonságot mondanánk azzal, hogy nem érdemes warezolni, mert könnyen pórul járhat az ember, elvégre semmi sincs ingyen, és noha az adott alkalmazás tört verziójáért nem kellett kifizetni semmit, az még legkevésbé sem jelenti azt, hogy cserébe ne kapnánk némi pluszt is ajándékba.

adat_biztonsag

A jailbreaket a warezzal rendszeresen és következetesen összemosók már ebben az esetben is épp cinikusan összekacsintottak, mikor az is kiderült, hogy valójában nem sokat számít a WireLurker szempontjából, hogy a készülék fel van-e törve, mert a jailbreak nélküli készülékekre is fel tudta telepíteni, amit akart, mindössze egy enterprise provisioning profil segítségével. Lássuk, mit érdemes tudni róla, és mit lehet tenni ellene.

Tovább olvasom

iSamurai iPhone szerviz akció

Aid.dylib/AppBuyer: új, Apple ID-t és jelszót lopó malware jailbreakelt készülékeken

A Palo Alto Networks nemrég egy új iOS-es malware-ről számolt be, amely a jailbreakelt készülékeket képes megfertőzni, és részletesen elemezte annak működését. A malware egy úgynevezett C&C szerverhez (command-and-control, botnet) kapcsolódva megpróbál kártékony kódot letölteni és lefuttatni az érintett készüléken, amely kód hozzákapcsolódik a hálózatkezelő API-hoz, és így a forgalmat figyelve ellopja a felhasználó Apple ID-ját és az ahhoz tartozó jelszót. Ha ezeket megszerezte, azt feltölti a támadó szerverére, majd megpróbál az áldozat nevében alkalmazásokat letölteni az App Store-ból. Ennek a tulajdonságának köszönhetően kapta az AppBuyer nevet.

adat_biztonsag

Az AppBuyer-t először 2014. május 18-án említette a WeiPhone Technical Group négy tagja. Az egészre úgy derült fény, hogy segítséget nyújtottak egy felhasználónak, aki azt tapasztalta, hogy a jailbreakelt készülékére időnként olyan alkalmazások töltődtek le, amelyeket ő maga egyébként nem vásárolt meg. Így vettek észre két, nem odaillő fájlt a készülékén, és ezeket megvizsgálva kiderült, hogy azok a felelősek mindezért. Végül megpróbálták a támadót azonosítani néhány kísérlettel, de azt nem magyarázták el, hogy a malware pontosan hogyan is működik. A malware-t irányító és kiszolgáló szerver ugyanakkor jelenleg is működik, így adott esetben ez érinthet egyeseket, ezért nézzük kissé részletesebben, miről is van szó.

Tovább olvasom

iSamurai iPhone szerviz akció

Spad.dylib/AdThief – már 75.000 készülék termel bevételt a “reklámfogóknak”

Nem meglepő módon az iOS esetén jóformán alig lehet malware-ekről beszélni, így amikor egy-egy ilyen valahogy mégis előfordul, az szinte azonnal akkora figyelmet kap, hogy hamar megoldás is születik rá. Legutóbb ez történt az unflod.dylib esetén is, ami a jailbreakes felhasználókat érintette, és az Apple ID-kat valamint az azokhoz tartozó jelszavakat továbbította egy vélhetően kínai szerverre. Ez persze elég egyszerűen orvosolható volt, ahogy azt a korábbi cikkünkben is leírtuk.

AdThief_01

A legújabb malware, ami az AdThief nevet kapta (teljes nevén iOS/AdThief.A!tr), valójában már márciusban előkerült, és ellentétben az unflod.dylib tevékenységével, ez nem a felhasználókat, hanem inkább azokat a fejlesztőket károsítja meg, akik különféle reklámszolgáltatók segítségével szereznek plusz bevételt az alkalmazásaikban megjelenő reklámok után. Az AdThief ugyanis módosítja az így kiszolgált reklámok forrását, és ezért a megjelenő reklám után már nem kap az adott fejlesztő bevételt, mert az már nem az ő ID-ján keresztül, vagy nem a vele szerződött reklámkiszolgálótól érkezik. A malware működéséhez jailbreak szükséges, mivel mindezt egy Cydia Substrate kiegészítő segítségével teszi, és így megtalálni szintén viszonylag egyszerű. Az viszont egyelőre nem derült ki, hogy hogyan kerül a malware a fertőzött készülékre, de kijelenthető, hogy ebben az esetben sem maga a jailbreak a hibás (hiszen annak alapból nem része a Cydia Substrate!), hanem a különféle feltört csomagokat tartalmazó warez-source-ok. De lássuk részletesebben.

Tovább olvasom

iSamurai iPhone szerviz akció

Unflod.dylib – Apple ID-t és jelszót lopó malware, jailbreakelt készülékeken

Április 17-én a redditen egy malware-ről számoltak be, ami a jailbreakes felhasználókat érinti, és az Apple ID-kat valamint az azokhoz tartozó jelszavakat továbbítja egy vélhetően kínai szerverre. Azt jelenleg nem lehet tudni, hogy a malware honnan került az érintett készülékekre, de a megoldás szerencsére egyszerű.

adat_biztonsag

Azt sem lehet tudni egyelőre, hogy mi áll az egész mögött, hiszen például az Apple ID-nkhoz beállított bankkártyák adatait az Apple “cenzúrázva” tárolja, így azok csak úgy nem lophatóak el, egy új eszközön való vásárláskor pedig a CCV kód újbóli megadása is szükséges. Viszont mivel az aktivációs zárral lezárt készülékek a lezáráshoz használt Apple ID és jelszó nélkül jelenleg gyakorlatilag nem kelthetőek életre, még akár ez is állhat a dolog hátterében.

Unflod.dylib

A malware az Unflod.dylib fájlként foglal helyet az érintett készülékeken, és egy MobileSubstrate kiegészítő, így az alábbi útvonalon található meg a fájlrendszerben:

/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib

Minden futó folyamat esetén figyeli az SSL kapcsolatot, egészen pontosan az SSLWrite-hoz kapcsolódik a Security.framework esetén, és keresi a bufferben a megfelelő stringeket, amik az Apple ID-t és a jelszót rejthetik. Ha ilyet talál, kiszedi azokból az Apple ID-t és a jelszót, így például egy App Store-os letöltés vagy mondjuk Game Centeres bejelentkezés közben képes azt megszerezni, majd mindezt egyszerű szövegként továbbítja. Jelenleg 2 IP cím az, amire elküldheti ezeket az adatokat a 7878-as porton keresztül: 23.88.10.4 és 23.228.204.55.

A kínai eredetre utal az is, hogy a binárist egy kínai fejlesztő iPhone fejlesztői tanúsítványával írták alá, aminek valójában nincs sok értelme, mert ha úgyis csak jailbreakelt készülékeken fut, akkor az aláírás gyakorlatilag felesleges is (vagy csak ez is egyfajta elterelés):

$ codesign -vvvv -d Unflod.dylib
Executable=./Unflod.dylib
Identifier=com.your.framework
Format=Mach-O thin (armv7)
CodeDirectory v=20100 size=227 flags=0x0(none) hashes=3+5 location=embedded
Hash type=sha1 size=20
CDHash=da792624675e82b3460b426f869fbe718abea3f9
Signature size=4322
Authority=iPhone Developer: WANG XIN (P5KFURM8M8)
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
Signed Time=14 Feb 2014 04:32:58
Info.plist=not bound
Sealed Resources=none
Internal requirements count=2 size=484

Természetesen Wang Xin lehet egy nem létező személy, vagy valaki, akinek szintén csak ellopták az adatait, mindenesetre az Apple biztosan utána fog járni ennek is. Ezen felül az aláírás dátuma február 14., így ez a malware egy ideje már terjedhetett anélkül, hogy bárki is felfedezte volna.

Az Unflod.dylib működését részletesen elemzi a SektionEins oldalának cikke.

Mit tehetek?

A legegyszerűbb megoldás, ha ellenőrzöd, hogy létezik-e a fent említett fájl a készülékeden. Ha nincs ilyen fájl, akkor nem érint téged ez a malware. Ha viszont találsz ilyen fájlt, akkor azt rögtön töröld le, és azonnal változtasd meg az Apple ID-d jelszavát a https://appleid.apple.com oldalon!

Ezután még érdemes lehet bekapcsolni a kétlépcsős azonosítást is, ha az már elérhető az Apple ID-d esetén: Kétlépcsős azonosítás: magasabb biztonság az Apple ID-nkhoz

Azok számára pedig, akik nem akarnak manuálisan nyúlkálni a készülékük fájlrendszerében, készítettünk egy cydiás csomagot, ami ellenőrzi, hogy létezik-e az Unflod.dylib fájl, és eltávolítja, ha igen, illetve ebben az esetben szintén figyelmeztet a jelszó módosításának fontosságára. Ha ezt a megoldást választod, akkor keresd a Szifon Source-on az Unflod.dylib malware fix csomagot:

unflod

A cydiás csomag csak a telepítése közben ellenőrzi és törli adott esetben a malware-t, a csomag ezután szükségtelen, így nyugodtan törölhető.

A malware kapcsán előkerült az is, hogy esetleg egy (vagy több), warezt tartalmazó cydiás source állhat az egész hátterében, így mi továbbra sem ajánljuk, hogy bárki is tört kiegészítőket telepítsen a készülékére, mert akár ilyen “mellékhatások” is elképzelhetőek.

Amennyiben újabb részletek is kiderülnek, természetesen frissítjük a cikket.

iSamurai iPhone szerviz akció

Több hibát is javít az Apple az iOS 7 beta 4-ben, köztük egy 2 éve meglévő, pár pixeleset is

Több mint 2 éve hibás a naptár ikonon az “1”-es szám kijelzése. Ez azt jelenti, hogy pár pixellel jobbra van és nem teljesen középen. Több felhasználó, főként grafikus jelezte már az Apple-nek ezt a (relatíve) hatalmas hibát, de ezidáig sajnos nem érkezett rá javítás.

Azonban úgy tűnik Jony Ive erre is odafigyel és több napon át tartó munkával kijavította ezt a hibát is, így most már még szebb naptár ikonnal találkozhatunk. Bár azt hiszem, az ikon szó ebben az esetben kicsit túlzás, mert mindössze egy fehér lapon van elhelyezve egy szó és egy szám. 🙂

hiba

ku-xlarge

Félretéve a viccet, ez tényleg egy hiba és ugyan az átlagember nem veszi észre, azért az Apple-nek 2 évig tartott a hiba javítása, amit inkább nem is jellemeznék. Tehát az iOS 7 beta 4 tulajdonosok már a javított naptár ikonnal találkozhattak a tegnapi augusztus elsején.

Ti az elmúlt 2 évben észrevettétek ezt a hibát?

Eredmények megtekintése

Betöltés ... Betöltés ...

A beta 4 egyúttal a korábbi, mikroszámítógépes feltörési lehetőséget is javítja. És noha szinte mindenütt “iPhone-t feltörő USB-s töltőkről” beszélnek, ahogyan a korábbi cikkünkben írtuk, a Mactans-ban használt elektronika egy BeagleBoard, ami egy mikroszámítógép, így egy ilyen “töltőre” dugott készülék esetén gyakorlatilag ugyanaz a helyzet, mintha azt a számítógépünkre dugnánk, hiszen egy egy ilyen eszköz nem tekinthető klasszikus értelemben véve USB-s töltőnek. Ráadásul a BeagleBoard méreténél fogva nem rejthető egy Apple iPhone-töltőadapter házába sem, így azzal véletlenül sem téveszthető össze, de ahogyan korábban írtuk, ne dugjuk a készülékeinket ismeretlen USB-s eszközre:

mactans_beagleboard

Mindenesetre aki eddig az iPhone-t feltörő töltők támadásától félt, az megnyugodhat, ezt a hibát, ahogyan az várható is volt, javította az Apple. Persze ne örüljünk ennek annyira, már legalábbis ha jailbreakelni szeretnénk, mert ezzel jelentősen nehezebbé válhat majd az iOS 7 jailbreakje is egyúttal.

iSamurai iPhone szerviz akció

Támadnak az iPhone-t feltörő töltők?

Természetesen nem. De a Black Hat konferencia érdekes előadásának ígérkezik július végén Billy Lau, Yeongjin Jang és Chengyu Song prezentációja, amiben egy mikroszámítógépet USB-s töltőnek álcázva az malware-t juttat a rádugott készülékre.

evil_charger

A fejlesztők állítása szerint az eszközük az iOS biztonsági megoldásait megkerülve képes kártékony kód készülékre juttatására a legújabb iOS-verzió esetén is, készüléktípustól függetlenül, ráadásul nem igényli azt sem, hogy a készülék már eleve feltört állapotú legyen. Az általuk használt módszer a jailbreak szempontjából mindenképp érdekes lehet, hiszen az iOS 6.1.3 és 6.1.4 esetén jelenleg nincs elérhető törés az A5 processzorral szerelt (iPhone 4S) és újabb eszközökre.

A prezentációjukban először megvizsgálják majd az Apple által használt biztonsági megoldásokat, amelyek megakadályozzák, hogy tetszőleges szoftvert telepítsünk a készülékre, majd megmutatják, hogy hogyan lehetséges megemelni a hozzáférést úgy, hogy kikerüljék ezeket a biztonsági megoldásokat. Ez eddig nem sokban tűnik másnak, mint amit az evasi0n esetén használt a jailbreaket fejlesztő csapat. Az evasi0n működéséről részletesen írtunk már korábban: Evasi0n jailbreak: mi van a motorháztető alatt?

Ezen túl azt is megmutatják majd, hogy hogyan lehet elrejteni egyes alkalmazásokat, így az eszközük által telepített malware-t is – hasonlóan ahhoz, amit az Apple használ az egyes beépített appok elrejtésére.

Arról a prezentáció előzetesében viszont egy szót sem ejtenek, hogy ez a malware egyáltalán mire is lenne képes, de ha úgy működik az egész módszer, ahogy maga az evasi0n, és kvázi ő maga jailbreakeli az készüléket, akkor feltételezhető, hogy teljes hozzáférése van az eszközhöz.

A Mactans névre keresztelt eszköz természetesen nem téveszthető össze egy iPhone-töltővel, hiszen a megépítéséhez használt BeagleBoard méreteiben nagyobb, mint a töltő, így nem lehet elrejteni annak a házában, tehát nem téveszthető meg vele egyszerűen a felhasználó:

Beagle_Board_big

Ugyanakkor naiv dolog lenne azt feltételezni, hogy más csoportok nem tanulhatnak az esetből, és nem állhatnak elő kisebb méretű, a normál iPhone-töltővel megegyező kinézetű eszközzel.

Arról sincs semmi információ, hogy az általuk használt módszer mennyiben lehet használható az iOS 6.1.3 és 6.1.4, vagy majd később az iOS 7 jailbreakelésében, de az Apple-t már tájékoztatták arról, hogy hogyan lehet kiküszöbölni az általuk kihasznált hibát.

Kik lehetnek veszélyben emiatt?

Jelenleg gyakorlatilag senki, mert a fenti egyelőre csak egy proof-of-concept, egy bemutató eszköz, tehát hivatalosan nem elérhető dolog, nem megvásárolható termék. Így nem kell attól sem tartanunk, hogy egy gonosz töltővel feltörik a készülékünket. Az sem valószínű, hogy ezt a sebezhetőséget bárki más tudja majd hasznosítani, mert mire a konferencián előállnak majd a részletekkel július végén, addigra az Apple már könnyedén javíthatta az egészet.

Mit lehet tenni megelőzésképp?

A józan ész azt diktálja, hogy ne használjunk idegen töltőt, ne dugjuk ismeretlen eszköz USB portjára a készülékünket, és ne adjuk ki azt a kezünkből. Abban a pillanatban ugyanis, hogy bármi fizikai hozzáférést adunk az iPhone-unkhoz, jelentősen megnő annak az esélye, hogy valami olyan történhessen vele, ami esetleg nemkívánatos.

Javasolt továbbá mindig a legfrissebb elérhető iOS-verzióval rendelkezni a készüléken, mert az Apple folyamatosan egyre több biztonsági hibát foltoz be.

Az adatainkhoz való hozzáférést egy jelkódzár beállítása már megoldhatja, mert ilyenkor a jelkód nélkül még az iTunes sem áll szóba a készülékünkkel, illetve elvben semmi más, USB-n kommunikáló szoftver sem. A recovery vagy DFU módban való piszkálás meg az iPhone 4S-től kezdődően az eddigi bootrom-szintű exploit kijavítása miatt nem igazán lehetséges. (Azt persze jelenleg nem tudni, hogy a Mactans pontosan mit is használ ki, és hogyan!)

Akik pedig még nagyobb biztonságban szeretnék tudni magukat, azok szerezzenek vagy gyártsanak maguknak olyan USB hosszabbító kábelt, amely nem alkalmas adatkapcsolatra, mert csak a feszültséget viszi át, így minden ilyen esetben védve vannak.

iSamurai iPhone szerviz akció