کشف یک بدافزار در دستگاه های قفل شکسته آیفون و آی پد

بدافزاری دستگاه های قفل شکسته آیفون و آی پد را آلوده کرده است. این بدافزار اعتبارنامه های حساب کاربری را از ترافیک رمزگذاری شده SSL به سرقت می برد .

به گزارش سرویس امنیت و شبکه پایگاه خبری فن آوری اطلاعات ایران از پلیس فتا، این تهدید زمانی کشف شد که تعدادی از کاربران گزارش دادند که به دلیل افزونه MobileSubstrate با نام Unflod در اجرای برخی از برنامه ها با مشکل مواجه شده اند .

افزونه MobileSubstrate که درحال حاضر Cydia Substrate نامیده می شود یک چارچوب کاری برای دستگاه های قفل شکسته می باشد که به توسعه دهندگان اجازه می دهد تا تغییرات iOS را ایجاد نمایند .

Paul Ducklin یک از مدیران شرکت امنیتی Sophos در پستی در وبلاگ نوشت : Substrate به کاربران اجازه می دهد تا عملکرد iOS را بر روی دستگاه های قفل شکسته در مواردی که توسط اپل تعمدا ممنوع شده است، تغییر دهند .

به نظر می رسد که برخی یک کتابخانه پویا برای Cydia Substrate ایجاد کردند تا به تابع SSLWrite معتبر iOS متصل شود و داده ها را قبل از رمزگذاری شدن و ارسال بر روی ارتباط امن SSL بخواند. این کتابخانه جعلی Unflod.dylib نام دارد اما هم چنین با نام framework.dylib مشاهده شده است .

پس از اتصال این کتابخانه به تابع SSLWrite ، این بدافزار ترافیک ها را به منظور یافتن درخواست های تایید هویت مانتیور می کند. سپس شناسه کاربری و رمز عبور کاربران را از میان داده ها استخراج کرده و به یکی از دو آدرس IP ثبت شده ارسال می کند .

هم چنان مشخص نیست که این کتابخانه مخرب چگونه بر روی دستگاه های قفل شکسته نصب شده است اما کاربران و محققان احتمال می دهند که بسته هایی که از مخزن های غیررسمی دریافت می شود ممکن است منبع آلودگی باشد .

محققان SektionEins اظهار داشتند: در حال حاضر انجمن jailbreak بر این باور است که حذف باینری Unflod.dylib/framework.dylib و تعویض رمزهای عبور شناسه اپل برای حفاظت در برابر حملات این بدافزار کافی است .