iOS ist sicher – jedenfalls ohne Jailbreak. Seit Jahren ist iOS in zahlreichen Studien unangefochten an der Spitze, da das System selber komplett abgeschirmt ist und der Benutzer – im Gegensatz zu Android – nicht direkt Dateien beliebig verändern kann. Dies gilt natürlich nur so lange, bis ein Jailbreak aufgespielt wird, durch den das System für den User geöffnet wird – mit teilweise gravierenden Sicherheitsproblemen.
Das System selber ist mit einem Jailbreak nicht einmal unbedingt der Grund dafür, dass sich Malware einnisten kann. Vielmehr ist es in den meisten Fällen der Nutzer, welcher genau dies möglich macht. Das Risiko, sich ein schadhaftes Programm einzufangen, liegt mit Jailbreak um Welten höher als ohne. Nur mit einem Jailbreak bricht man aus der Apple-Sandbox aus und kann via Cydia beliebige Tweaks aus verschiedensten Quellen laden. Dadurch gelangt dann etwas wie Unflod auf das Gerät…
Es handelt sich bei Unflod um die erste bekannte Malware überhaupt, die auf iOS-Geräten Schaden anrichtet. Auf reddit tauchten gestern die ersten Hinweise auf. Der Nutzer tdvx stellte nämlich fest, dass viele seiner iPhone-Apps einfach abstürzten und forschte durch Deaktivierung von Mobile Substrate-Tweaks nach. Am Ende fand er dann “Unflod.dylib” als den Grund heraus.
Was ist Unflod?
Der Nutzer minilover11 erwähnte in einem neuen Post, dass Unflod alle Anzeichen einer Malware mit sich bringt und die Apple ID sowie das dazugehörige Passwort an einen Server in China sendet. Dies gelingt dadurch, dass eine Funktion namens “SSLWrite” aufgerufen wird, welche die Apple ID und das Passwort aus der Plist-Datei für SSL-Verbindungen zu Apple’s Authentifizierungs-Server (/WebObjects/MZFinance.woa/wa/authenticate) ausliest und im Klartext (unverschlüsselt) an die IP-Adresse 23.88.10.4 sendet.
Der deutsche Sicherheitsexperte Stefan Esser von SektionEins stellt mehr Informationen zu Unflod bereit:
Die Malware soll sich demnach in alle laufenden Prozesse des gejailbreakten Gerätes einklinken und auf ausgehende SSL-Verbindungen warten. Findet eine solche Verbindung statt, sollen die Daten im Klartext an Server mit IP-Adressen amerikanischer Hosting-Unternehmen für mutmaßlich chinesische Kunden gesendet werden.
Außerdem konnte das Entwickler-Zertifikat, mit der die Datei entwickelt wurde, einem “WANG XIN” zugeordnet werden. Dabei könnte es sich laut SektionEins um ein Fake-Profil oder einen realen Entwickler (unwissend oder wissend) handeln. Auch liege das Datum der Signatur auf dem 14. Februar, sodass die Malware bereits seit etwas mehr als einem Monat aktiv sein könnte.
Bin ich infiziert?
Ihr könnt ganz einfach überprüfen, ob euer Gerät von Unflod kompromittiert ist. Dazu installiert ihr einen Dateimanager eurer Wahl (z.B. iFile, kostenlose Testversion in Cydia) und navigiert zum Ordner /Library/MobileSubstrate/DynamicLibraries/. Sollte sich dort eine Datei namens “Unflod.dylib” befinden, habt ihr die Malware installiert.
Für gewöhnlich werden Pakete in offiziellen Cydia-Repos überprüft. Habt ihr also keine gecrackten Apps oder sonstige inoffizielle Repos installiert gehabt, sollten eure Jailbreak-Geräte sauber sein. Habt ihr keinen Jailbreak installiert, könnt ihr logischerweise nicht betroffen sein!
Unflod entfernen
Der einfachste, aber auch unsicherste Weg ist das bloße Entfernen der Datei “Unflod.dylib”. Laut SektionEins sei noch wenig über Unflod bekannt, sodass weitere Malware immer noch auf dem Gerät aktiv sein könnte. Aus diesem Grund wird ein kompletter Restore des Gerätes mit anschließendem Wiedereinspielen des Backups empfohlen. Dabei geht aktuell auch die Jailbreak-Möglichkeit verloren.
Solltet ihr infiziert gewesen sein, ist auch die Änderung eures Apple ID Passworts unerlässlich. Keine weiß, ob eure Daten nicht vielleicht schon missbraucht wurden.
saurik helfen!
Der Cydia-Entwickler saurik will mehr über Unflod herausfinden. Solltet ihr die Malware auf eurem iOS-Gerät gehabt haben, folgt dieser Anleitung hier, um alle wichtigen Informationen weiterzuleiten.
Hattet ihr Unflod auch installiert? Was sind eure Erfahrungen mit der Malware?