• iOS
• iPad
• iOSデバイス
• iPhone
• アップルニュース

脱獄したデバイスからApple IDとパスワードを盗む中国のiOSマルウェア

セキュリティ研究者のステファン・エッサー氏（ ArsTechnica経由 ）は、ジェイルブレイクされたiPhoneやiPadでクラッシュを引き起こすとしてRedditで報告された問題が、実際には感染したデバイスからApple IDとパスワードを盗み取るために設計されたマルウェアであることを発見した。

このマルウェアは中国起源と思われる。Unflod.dylibというライブラリとして配布され、ジェイルブレイクされたiOSデバイスの実行中のすべてのプロセスにフックし、SSL接続を傍受する。これらの接続からデバイスのApple IDとパスワードを盗み出し、それらを平文のまま、米国のホスティング会社が管理するIPアドレスを持つサーバーに送信しようとする。これらのサーバーは、中国人顧客向けとみられる。

初期の兆候から、このマルウェアの出所はCydia以外のどこかからダウンロードされた改造プログラムである可能性が高いことが示唆されています。Esser氏は、このコードは32ビットデバイスでのみ動作することを明らかにしました。つまり、iPhone 5s、iPad Air、Retinaディスプレイ搭載のiPad miniは安全ですが、その他のデバイスは脆弱であるということです。

ブログ記事によると、このマルウェアは確認は容易だが、削除は容易ではない可能性があるとのことです。SSH/ターミナルを使用して、パス / Library / MobileSubstrate / DynamicLibraries /にUnflod.dylibまたは framework.dylibが存在するかどうかを 確認してください。

現在、脱獄コミュニティは、Unflod.dylib/framework.dylibバイナリを削除し、その後Apple IDのパスワードを変更すれば、この攻撃から回復できると考えています。しかし、そもそもこの動的ライブラリがどのようにしてデバイスに侵入したのかは依然として不明であり、したがって、追加のマルウェアが付属しているかどうかも不明です。

したがって、唯一安全な削除方法は完全な復元、つまりジェイルブレイクの削除と消失であると考えています。

 Cydia 開発者の Jay Freeman (別名 Saurik) 氏は、Cydia にランダムなダウンロード URL を追加することは、スパムメールで受信した添付ファイルを開くのと同じくらい危険であるとRedditで指摘しました。