iPhone-Malware „unflod“: Jailbreak-Schädling sendet Nutzer-Daten nach China
Security-Experten haben am Osterwochenende eine der ersten Jailbreak-Applikationen entdeckt, die die iCloud-Account-Daten ihrer Nutzer (wir sprechen hier von der Kombination aus E-Mail Adresse UND Passwort) an fremde Server in China übermittelt hat.
Der iOS-Schädling wurde bislang nur auf Geräten ausgemacht, die Apples Systemrestriktionen mit Hilfe eines Jailbreaks umgangen haben und scheint sich vornehmlich über schwarzkopierte Spiele zu verteilen.
Anders als bei herkömmliche Viren, Würmern und Adware-Programmen muss die Malware mit dem Spitznamen „unflod“ aktiv installiert werden und erreicht das Gerät nicht per E-Mail oder bei einem einfachen Webseiten-Aufruf.
Der Programmierer und iOS Sicherheits-Experte Stefan Esser hat sich detailliert mit der Funktionsweise des „unflod“-Binaries beschäftigt und seine Analyse der Schadsoftware auf sektioneins.de veröffentlicht.
Esser schreibt:
As you can see this is a quick and dirty analysis of the threat that shows several indicators that a chinese party is involved. It is however unclear at the moment how the actual malware binaries end up on jailbroken iPhones. […] Currently the jailbreak community believes that deleting the Unflod.dylib/framework.dylib binary and changing the apple-id’s password afterwards is enough to recover from this attack. However it is still unknown how the dynamic library ends up on the device in the first place and therefore it is also unknown if it comes with additional malware gifts. We therefore believe that the only safe way of removal is a full restore, which means the removal and loss of the jailbreak.
Nutzer die ihre Geräte nicht mit einem Jailbreak versehen haben bzw. ihr iPhone mit Jailbreak nur für den Erwerb legaler Applikationen und Systemerweiterungen Nutzer, können sich vorerst entspannt zurücklehnen.
Security Experten oder Reddit user? :p
Da gibt es ganz bestimmt auch Schnittmengen ;)
Selbst schuld, wer Phantomen aus dem Internet quasi Vollzugriff gestattet! Wunderbare News!
Ist wahrscheinlich oft nur Unbedarftheit und Unwissen… man denke nur an sowas „Harmloses“ wie irgendwelche Zertifikate für Gameboy-Emulatoren, da geht’s schon los.
Eine Menge Newsseiten posten Links und Anleitungen, wenn’s wieder mal einen neuen Jailbreak gibt, oft genug gibt’s dann aber noch nicht mal den Hinweis zum Ändern des Passworts…
Alpine ^^
War nur eine Frage der Zeit.
Fragt sich nur, wie sicher die Zugangskontrollen bei „offiziellen“ Jailbreak-Kaufhäusern sind und wie sicher die Zugangsskontrollen bei Apple sind.
Ich persönlich setze eigentlich drauf, dass Apples Zugangskontrollen am sichersten sind, da hier hier bereits über die verpflichtend vorgeschriebene Entwicklerumgebung ein tiefer Einblick Apples in die Programme möglich sein sollte. Fragt sich nur, ob Apples Kontrollprozesse auch immer gründlich durchgeführt werden. Letztlich sitzen überall Menschen und Menschen machen Fehler.
Ich befürchte wer wirklich auf absolut sicher gehen möchte, der darf keinerlei Verbindung zwischen kritischen Daten und Internet herstellen. Also zurück zu Block und Stift ;-)
Vor ca. 11/2 – 2 Jahren wurde eine App diskutiert, die durch die AppStore-Kontrolle gerutscht ist und nach Installation, (harmlose) Malware nachlud. Der Entwickler hat das offen gemacht um damit auf Schwachstellen in Apples Kontrollen hinzuweisen. Das lässt sich mit Sicherheit reproduzieren. Ich glaube nicht das Apple den Aufwand betreibt oder ein Tool bereithält, dass ein App zur Laufzeit auf ‚Herz und Nieren‘ überprüft. Die schauen eher etwas genauer auf die Person, also den Entwickler selbst. Was das bedeutet, kann sich jeder selbst ausdenken, wenn es denn so ist.
Vertrauen muss man immer jemanden. Entweder Apple, einen (wenn’s da sowas gibt) Virenscanner im Cydia Store, oder komplett fremden App’s. Von allen dreien trau ich am ehesten Apple, die für mich die gleiche rolle einnehmen wie die einer Externen Firma für Antivierensoftware.
dess is einfach bitter endlich kriegen diese raupkopierer mal auf die fresse
Jailbreak User pauschal als Raubkopierer zu verunglimpfen hilft natürlich wirklich weiter…. Manchmal wünsche ich mir einen -delete- Button neben solch dummen & nutzlosen Kommentaren.
Na ja, es geht ja um „schwarzkopien“ illegaler spiele, wo der jb voraus gesetzt ist. Ohne geklaute spiele, kann sich die malware nicht verbreiten.
Nutzlos ist eher dein Beitrag
Denk mal weiter…
Nur ein Jailbreak User kann überhaupt derartige Software schwarz installieren.
Und genau diese schwarzkopierer hat der TO gemeint und NICHT jeden Jailbreaker pauschal.
nene Leute. Fire hat schon recht. Pauschalisieren sollte man hier nicht.
Jailbreak lässt auch legale Appinstallationen über cydia zu, wo man sich zusätzlichen Passwortschutz von Apps, ein besseres Control-Center usw. bauen kann.
Die kriminellen Energien, sich kostenpflichtige Apps ohne Beitrag zu installieren, ist zwar möglich, aber nicht notwendig.
Toll. Jetzt werden jailbreaker und raubkopierer wieder in ein Stall geschmissen. Kopfschüttel
Hat hier bisher noch keiner gemacht, außer dir jetzt natürlich! ;-)
Doch, Missslwitz um 09:35.
Doch nicht, sorry.
Er schreibt aber von raubkopierern, nicht von jailbreakern.
„only seems to affect packages from shady repos“
– Betrifft hauptsächlich die, die sich Zeug aus ganz speziellen unsicheren Quellen installieren – deshalb trifft’s auch größtenteils die Richtigen. Der unschuldige Rest… naja, wer jailbreakt, kennt ja hoffentlich die Risiken.
Ich habe nur Vorteile und weniger Risiken mittels Jailbreak. Wer sich unseriöses Zeugs oder gecrackte Software lädt ist selber schuld.
Recht so! Ich hab meinen Jailbreak wegen tollen Programmen wie Barrel, bytafont und Lockinfo.
Sollen sich die Raubkopierer schön was einfangen.
Warum ist es eigentlich eine RAUBkopie? Wird mit Messer oder Gewalt nach einer Softwarekopie verlangt? Tzz… wer hat den Schmarn eigentlich erfunden?
Wer von euch hat kopierte mp3s, schaut streams von xykino.to und blubbert täglich mit stöckchen?
Und jetzt sollen, wenn auch nur bildlich diese eins in die Fresse bekommen?
Mensch Jüngchen, geh ne runde Schaukeln. Bringt dich auf andere Gedanken.
Wie nennst du denn den Vorgang wenn man sich ausschließlich käuflich zu erwerbende Dinge ohne zu bezahlen widerrechtlich aneignet?
Im deutschen Recht ist das Raub, und daher kommt auch der Name.
Diebstahl
@Gerd
Raub impliziert aber laut Definition auch Gewaltanwendung oder deren Androhung gegenüber einer Person. Und die findet hier nicht statt. Es ist und bleibt eine unerlaubte Vervielfältigung. Im deutschen recht gibt es keine Raubkopie. Du kannst dich dazu gerne belesen (Wikipedia ist dein Freund).
… umgangssprachlich Raubkopie. Bringt nichts, durch Begriffsdiskussionen vom Thema abzulenken.
Meine Güte… Man kann es auch übertreiben!
Dann nenn du es halt ne Diebstahlkopie wenn dir der Ausdruck besser gefällt.
Zwischen Raub und Diebstahl liegen mehrere Jahre ;)
Wenn man den Wortlaut nur für ändert, bleibt der Tatbestand immer noch der selbe. Auf Wotspielchen brauchen wir uns auch nicht einlassen. Oder gehst Du mit nem Rollbrett in die Half Pipe? Es fliegt auch ständig nur Zeug’s umher. Heisst ja Flug“zeug“. Und wenn Du nen Bildschirm benutzt, spannst Du ein Poster im Regen auf?
Treffer! Aber nicht bei mir. Der Aufwand solch ein Tool in eine App einzubauen, ist aber auch nicht ohne. Und Selbst Schuld, wer für Klimmpergeld gecrackte Games installiert. OK, in die Verlegenheit bin ich auch schon gekommen, es blieb allerdings beim Versuch, der in einem Abbruch des Downloads endete. Selig sind die, die straucheln und vom Pfad der Tugend abweichen….
Ich hoffe ma der obige Code ist nur das reverse-engineerte teil -> andernfalls sehr skilled :p
Aber in welcher plist-datei steht Apple-ID samt Pass in klartext? Im Endeffekt müsste ich die Daten ja zuvor irgend wo eingeben.
Naja die Daten stehen nicht in irgendeiner Datei. Aber durch den Jailbrake ist es dem Hacker möglich den SSL Buffer auszulesen und sich in die Sicherheitsfunktionen von IOs inzuklinken. Dort sucht er einfach nach den passenden Daten und greift sie ab.
Wenn ich das Ganze richtig verstehe, wird der Schädling nicht mit einem Package installiert, sondern nachgeladen (also ist nicht nachzuvollziehen, wo er her kam) – müßte doch bedeuten, daß er mit einem neuen Namen jederzeit wieder nachgeladen werden könnte? Wenn sie jetzt noch einen Weg finden, daß er sich selbst löscht, nachdem die Nutzerdaten übermittelt wurden… heh.
Hat bestimmt Apple selbst im Keller gebastelt das Teil, damit die User nun noch mehr in den matschigen Apfel beissen. Immerhin gibts hier die Beisshilfe mal wieder gratis. :-S
Auch eine interessante Sichtweise!
… wenn auch absoluter Stuß.
Nicht absoluter, aber schon ziemlich.
Sacht mal Jungs/Mädels. Bräuchte mal ne Info. Fahr Mitte nächsten Monats nach Frankreich in den Urlaub hab aber für meinen Frieden nicht vor mir nen Travel&Surf Pass bei der telekom zu holen. Brauche aber den persönlichen hotspot um mich per ssh mit meinem Raspberry zu verbinden.
Hat jemand Erfahrungen ob ich den persönlichen hotspot im Ausland nutzen kann ohne Daten roaming zu aktivieren?!
Diese Frage würde ich in einem entsprechenden Forum posten. Hier verpufft sie nur.
Wie willst du ohne ins Internet ohne eine Internet verbindung zu haben?
Ich will nicht ins Internet. Mein raspberry verbindet sich mit meinem iPhone via persönlichem hotspot. Per ssh app kann ich dann auf die Shell der raspberry zugreifen und diese normal benutzen. Mit dem Internet hat das erstmal nichts zu tun. Die Frage ist nur ob der persönliche hotspot ne Internet Verbindung braucht um seine Zertifikate abzugleichen
nein du brauchst normaler weise kein internet für hotspot der überträgt auch so daten zwischen iphone und raspberry !!!;) sonst einfach mal hier austesten …
So wirklich genau schaut Apple nicht. Ich kenne den Fall, da wurde ein Lernkarten-App eingereicht, so mit Fächersystem, wie oft man was gewusst hat und so – und Apple hat es rejected mit der Begründung, es sei *nur* ein „pdf-reader“, weil die Karten halt als pdf vorlagen…
Die mussten dann mühsam durch den Eskalationsprozess, bis sie es durch hatten…
Verbreitung über illegale Spiele Kopien finde ich klasse! Wer raubkopiert darf auch gerne einen an den Hals bekommen.
Lol die News sind aber schon alt. Sichheitshalber hatte ich im iFile nachgeschaut = alles Tutti.
Hier trifft es scheinbar die richtigen^^.
Hmmm, niemand weiß, wie lange es diesen Schadcode schon gibt. Ich erinnere mich noch an die Wellen nicht nachvollziehbarer Käufe chinesischer Apps, die sich die betroffenen User nicht erklären konnten…
Was nützt die Apple ID samt Passwort wenn jemand die „Zwei-Faktor Authentifizierung“ bereits eingerichtet hat ? Richtig genau NIX !!! Um mit der Apple ID über ein „fremdes“ Gerät Schindluder zu treiben braucht man Zugriff auf mind. ein verifiziertes Gerät, was sich aber in der Praxis als äußerst schwierig bis unmöglich erweisen dürfte. Ich hab mir die vor ca. 2 Monaten eingerichtet und bei jeder Änderung oder Zugriff eines nicht gespeicherten Gerätes bekomme ich erst mal einen Code auf eines meiner beiden Geräte die ich verifiziert habe. Ohne direkten Zugriff auf diese Geräte passiert null komma null, find ich klasse.