iPhones e iPads com jailbreak possuem falha de segurança que rouba Apple IDs

Por Redação | 23 de Abril de 2014 às 10h15
Divulgação
Tudo sobre

Apple

Saiba tudo sobre Apple

Ver mais

Por mais que existam inúmeros recursos de segurança, um sistema operacional, seja ele para computador, tablet ou smartphone, não é totalmente seguro. Por isso, muitas empresas tentam criar ferramentas para "blindar" suas plataformas de ataques, espionagem ou invasão de usuários mal intencionados. Uma delas é a Apple com o iOS, sistema presente nos iPhones e iPads, que só permite a instalação de programas autorizados e incluídos dentro da App Store, reduzindo as chances do dispositivo ser infectado.

Mas há quem tente burlar esse mecanismo e adotar em seu aparelho Apple uma estratégia semelhante ao que acontece no software do Google para tablets e celulares, o Android, ou seja, que libera a instalação de qualquer aplicativo mesmo sem certificação oficial. Trata-se do conhecido jailbreak, que não se limita apenas aos dispositivos móveis, como também PCs, periféricos e videogames. E para quem possui um iPhone ou iPad com jailbreak é melhor ficar atento, pois surgiu um novo malware que rouba credenciais de contas Apple a partir do tráfego SSL criptografado.

De acordo com o Macworld Brasil, a falha foi descoberta por um internauta da rede social Reddit que acabou sendo vítima da brecha de segurança. Batizada de "Unflod Baby Panda", a ameaça afeta todos os aparelhos que já sofreram jailbreak e envia as Apple IDs roubadas aos criadores do vírus que, aparentemente, são chineses. A falha é baseada em um framework chamado Cydia Substrate (que antes era conhecido como MobileSubstrate), que permite que desenvolvedores criem modificações para iOS para torná-los mais interessantes que as versões originais.

Participe do nosso Grupo de Cupons e Descontos no Whatsapp e garanta sempre o menor preço em suas compras de produtos de tecnologia.

No entanto, essa é uma prática proibida pela Apple mesmo em dispositivos sem jailbreak, já que a instalação torna o aparelho mais vulnerável a arquivos maliciosos. Segundo Paul Ducklin, chefe de tecnologia para a Ásia-Pacífico da empresa de antivírus Sophos, tudo indica que alguém criou uma biblioteca dinâmica para o Cydia Substrate que se conecta à função iOS SSL Write legítima. A partir daí, o framework modificado consegue ler os dados do aparelho antes de serem criptografados e enviados através de uma conexão SSL segura.

Usuários relatam que a tal biblioteca possui dois nomes diferentes: Unflod.dylib e framework.dylib. Contudo, de acordo com a SektionEins, empresa de consultoria de segurança que começou a estudar o malware, essa pode ser apenas uma tentativa dos criminosos de esconder o vírus.

iphone 5c

(Foto: Canaltech)

Como o bug funciona

A primeira ação do malware é se conectar à função SSLWrite. Feito isso, o vírus monitora o tráfego em busca de solicitações de autenticação com serviços da Apple para então extrair as credenciais e senhas das contas. Por fim, a ameaça envia todos os dados a um dos endereços IP hardcoded dos cibercriminosos.

Apesar de ainda não estar claro como a biblioteca Unflod.dylib maliciosa é instalada em aparelhos com jailbreak, a SektionEins afirma que o erro afeta o dispositivo quando o dono instala aplicativos ou ferramentas distribuídos em sites asiáticos, mas também há indícios de que pacotes de repositórios não oficiais sejam fontes de infecção.

Outra informação é que um dos responsáveis por administrar o bug é um chinês chamado Wang Xin, mas ela ainda não foi confirmada. "Esse indivíduo pode ser falso, uma vítima de roubo de cerificado ou estar realmente envolvido. É impossível saber, mas a Apple deve ser capaz de investigar essa informação e encerrar a conta do desenvolvedor", disseram os pesquisadores da SektionEins.

Como resolver o problema

Se o seu iPad ou iPhone não possui jailbreak, não precisa se preocupar. Caso você tenha feito o procedimento, a companhia alemã de segurança digital recomenda excluir o binário Unflod.dylib/framework.dylib e posteriormente mudar a senha da Apple ID. Possuir um bom antivirus instalado no seu aparelho também é uma ótima dica.

Mesmo assim, o mais indicado para eliminar o script malicioso é reiniciar seu gadget por completo, o que significa a remoção de todos os apps instalados e do jailbreak. Dessa forma, os pesquisadores garantem que o Unflod Baby Panda não será uma porta de entrada para outros arquivos perigosos e ameaças.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.