Stefan Esser zajmujący się badaniem bezpieczeństwa odkrył, że niejednokrotnie zgłaszany przez użytkowników problem – zawieszanie się iPhone’ów i iPadów z wykonanym jailbreakiem, jest w rzeczywistości spowodowany złośliwym oprogramowaniem służącym do przechwytywania identyfikatorów Apple ID i haseł.
Malware wydaje się pochodzić z Chin. Biblioteka Unflod.dylib będąca częścią złośliwego oprogramowania „podpina się” do wszystkich uruchomionych procesów i nasłuchuje wychodzące połączenia SSL. Z nawiązywanych połączeń stara się wykraść loginy Apple ID i hasła, które następnie, w postaci zwykłego tekstu, wysyła na zewnętrzne serwery.
Pierwsze informacje o złośliwym oprogramowaniu wskazują, że jego źródło pochodzi z poza Cydii. Ponadto Esser zauważył, że kod działa tylko na 32-bitowych urządzeniach, co oznacza, że iPhone 5s, iPad Air i iPad mini są – przynajmniej na razie – bezpieczne.
Obecność złośliwego oprogramowania jest stosunkowo łatwa do zlokalizowania – korzystając z SSH/Terminala, należy sprawdzić czy w katalogu /Library/MobileSubstrate/DynamicLibraries istnieje Unflod.dylib lub framework.dylib.
Fani jailbreaka uważają, że usunięcie wspomnianych plików i zmiana hasła Apple ID jest wystarczająca, jednak tak naprawdę wciąż nie wiadomo, czy malware nie wprowadza innych zmian w systemie lub czy nie czyni urządzenia podatnym na inne ataki.
Według Stefana Essera jedynym pewnym i w pełni bezpiecznym sposobem usunięcie malware jest pełne odtworzenie urządzenia z „czystym” systemem.
[source url=http://9to5mac.com/2014/04/22/chinese-ios-malware-stealing-apple-ids-and-passwords-from-jailbroken-devices/ name=9to5mac]
