آشنایی با Unflod، رخنه امنیتی خطرناک برای دستگاه های جیلبریک شده

آشنایی با Unflod، رخنه امنیتی خطرناک برای دستگاه های جیلبریک شده

Unflod-malware


در چند روز گذشته شاهد خبرهای بسیاری در مورد رخنه امنیتی جدید در ستگاه های جیلبریک شده بودیم. در این تاپیک به صورت کامل این مشکل امنیتی شرح داده میشود و نحوه در امان ماندن از آن نیز توضیح داده میشود.

تروجان “Unflod” که بیشتر با نام “Unflod Baby Panda” معروف است توسط یک گروه چینی نوشته شده است که به طور خلاصه اپل ای دی و پسورد های شمارا میدزدد و به صورت یک فایل متنی بدون هیچگونه کدگذاریی در اختیارشان قرار میدهد.

این فایل Unflod.dylib نام دارد و در مسیر /Library/MobileSubstrate/DynamicLibraries قرار دارد و به دلیل شباهتی که با توییک Unfold دارد کمتر کسی به آن شک میکند. اما اصل ماجرا دقیقا همینجاست و این فایل با هوک شدن بر روی تمام پروسه های در حال انجام در گوشی و همچنین SSL های خروجی از دستگاه سعی میکند که اپل ای دی و پسوردی که ثبت میکنید رو در قالب یک فایل متنی به یک سایت چینی که توسط یک هاستینگ واقع در آمریکا میزبانی میشود ارسال کند.

به طور مشخص این فایل بوسیله اضافه کردن سورس های غیر قابل اطمینان و مخصوصا سورس های چینی به دستگاه شما نفوذ میکند. همین خاطر از اضافه کردن تعداد زیاد سورس و یا سورس هایی که از امنیت کاملشان اطمینان کامل ندارید خودداری کنید.

این توییک توسط یک اکانت دولوپر ساین شده است که نام آن فرد نیز به وضوح وجود دارد، “WANG XIN”که دقیقا مشخص نیست این نام متلعق به یک فرد واقعی است یا خیر.


این فایل با هوک شدن بر روی قسمت SSLWrite که در فرمورک Security.framework قرار دارد شروع به گشتن در مسیر /WebObjects/MZFinance.woa/wa/authenticate میکند. این دقیقا همان مسیری است که وقتی شما ی اپل ای دی و پسورتان را وارد میکنید بوسیله پروتکل امنیتی SSL به آن اتصال برقرار میشود تا اطلاعات وارد شده راجع به اکانت شما بررسی شود. و در نهایت با پیدایش اپل ای دی و اطلاعاتش سریعا با استفاده از پورت 7878 اقدام به اتصال به سرور هایی با آی پی آدرس های “23.88.10.4 و 23.228.204.55” میکند و اطلاعات را به عنوان یک فایل متنی برای آن ها ارسال میکند.



این اطلاعات توسط فرد مشهور جامعه جیلبریک، i0n1c بدست آمده است. طبق گفته ایشان ابتدا مسیری که در فوق گفته شد را بررسی کنید و در صورتیکه فایل Unflod.dylib را پیدا کردید، برای در امان ماندن از این بدافزار:

فایل Unflod.dylib در مسیر /Library/MobileSubstrate/DynamicLibraries رو پاک کنید و همچنین پسورد اپل ای دی تان را نیز عوض کنید. البته هنوز مشخص نیست که این گروه فایل های دیگه ای نیز در جای جای دستگاه شما داشته باشند یا نه و با انجام کار های فوق نمی توان به طور صد در صد گفت دستگاه شما امن است. بنا بر این پیشنهاد میشود دستگاه خود را به صورت کامل ریستور کنید که این به معنای از دست دادن کامل جیلبریک خواهد بود.

لازم به ذکر است دستگاه هایی که جیلبریک نیستند به هیچ عنوان خطری اطلاعات آن ها را تهدید نمیکند و نیازی به انجام کار های فوق ندارند.

میتوانید نوشته Saurik نیز در این باره مطالعه کنید:

برچسب ها:

دیدگاه ها ۱

  1. داريوش

    ۵ اردیبهشت ۱۳۹۳ ۲:۲۵ ب.ظ

    سلام خسته نباشید، چطور باید ریستور کامل کنم؟ آیا برنامه هام پاک میشه؟

دیدگاه خود را ارسال کنید.