Por mais que existam inúmeros recursos de segurança, um sistema operacional, seja ele para computador, tablet ou smartphone, não é totalmente seguro. Por isso, muitas empresas tentam criar ferramentas para "blindar" suas plataformas de ataques, espionagem ou invasão de usuários mal intencionados. Uma delas é a Apple com o iOS, sistema presente nos iPhones e iPads, que só permite a instalação de programas autorizados e incluídos dentro da App Store, reduzindo as chances do dispositivo ser infectado.
Mas há quem tente burlar esse mecanismo e adotar em seu aparelho Apple uma estratégia semelhante ao que acontece no software do Google para tablets e celulares, o Android, ou seja, que libera a instalação de qualquer aplicativo mesmo sem certificação oficial. Trata-se do conhecido jailbreak, que não se limita apenas aos dispositivos móveis, como também PCs, periféricos e videogames. E para quem possui um iPhone ou iPad com jailbreak é melhor ficar atento, pois surgiu um novo malware que rouba credenciais de contas Apple a partir do tráfego SSL criptografado.
De acordo com o Macworld Brasil, a falha foi descoberta por um internauta da rede social Reddit que acabou sendo vítima da brecha de segurança. Batizada de "Unflod Baby Panda", a ameaça afeta todos os aparelhos que já sofreram jailbreak e envia as Apple IDs roubadas aos criadores do vírus que, aparentemente, são chineses. A falha é baseada em um framework chamado Cydia Substrate (que antes era conhecido como MobileSubstrate), que permite que desenvolvedores criem modificações para iOS para torná-los mais interessantes que as versões originais.
No entanto, essa é uma prática proibida pela Apple mesmo em dispositivos sem jailbreak, já que a instalação torna o aparelho mais vulnerável a arquivos maliciosos. Segundo Paul Ducklin, chefe de tecnologia para a Ásia-Pacífico da empresa de antivírus Sophos, tudo indica que alguém criou uma biblioteca dinâmica para o Cydia Substrate que se conecta à função iOS SSL Write legítima. A partir daí, o framework modificado consegue ler os dados do aparelho antes de serem criptografados e enviados através de uma conexão SSL segura.
Usuários relatam que a tal biblioteca possui dois nomes diferentes: Unflod.dylib e framework.dylib. Contudo, de acordo com a SektionEins, empresa de consultoria de segurança que começou a estudar o malware, essa pode ser apenas uma tentativa dos criminosos de esconder o vírus.
(Foto: Canaltech)
Como o bug funciona
A primeira ação do malware é se conectar à função SSLWrite. Feito isso, o vírus monitora o tráfego em busca de solicitações de autenticação com serviços da Apple para então extrair as credenciais e senhas das contas. Por fim, a ameaça envia todos os dados a um dos endereços IP hardcoded dos cibercriminosos.
Apesar de ainda não estar claro como a biblioteca Unflod.dylib maliciosa é instalada em aparelhos com jailbreak, a SektionEins afirma que o erro afeta o dispositivo quando o dono instala aplicativos ou ferramentas distribuídos em sites asiáticos, mas também há indícios de que pacotes de repositórios não oficiais sejam fontes de infecção.
Outra informação é que um dos responsáveis por administrar o bug é um chinês chamado Wang Xin, mas ela ainda não foi confirmada. "Esse indivíduo pode ser falso, uma vítima de roubo de cerificado ou estar realmente envolvido. É impossível saber, mas a Apple deve ser capaz de investigar essa informação e encerrar a conta do desenvolvedor", disseram os pesquisadores da SektionEins.
Como resolver o problema
Se o seu iPad ou iPhone não possui jailbreak, não precisa se preocupar. Caso você tenha feito o procedimento, a companhia alemã de segurança digital recomenda excluir o binário Unflod.dylib/framework.dylib e posteriormente mudar a senha da Apple ID. Possuir um bom antivirus instalado no seu aparelho também é uma ótima dica.
Mesmo assim, o mais indicado para eliminar o script malicioso é reiniciar seu gadget por completo, o que significa a remoção de todos os apps instalados e do jailbreak. Dessa forma, os pesquisadores garantem que o Unflod Baby Panda não será uma porta de entrada para outros arquivos perigosos e ameaças.
via: http://canaltech.com.br
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.