Nous louons souvent iOS comme une plate-forme très sécurisée, et c’est surtout vrai, comme de nombreuses études l’ont confirmé au fil des ans. Mais parfois, ce n’est pas tant la plateforme qui est responsable du manque de sécurité, c’est l’utilisateur lui-même.
L’illustration parfaite de cela est lorsque vous jailbreakez votre appareil. En obtenant un accès root à votre iPhone ou iPad, vous commencez à sortir du jardin clos d’Apple et vous vous exposez au risque d’avoir des fichiers non fiables installés sur votre appareil à votre insu.
En tant que jailbreaker moi-même, je suis très conscient des risques, mais cela ne me dérange pas car les avantages l’emportent généralement largement sur les inconvénients, et je suppose que la plupart des utilisateurs de jailbreak ressentent la même chose.
Ceci dit, un nouveau malware appelé Unflod cible les appareils jailbreakés depuis quelques semaines. Bien qu’il y ait encore beaucoup de choses que nous ignorons sur Unflod, le peu d’informations dont nous disposons à son sujet suffit à susciter des inquiétudes…
La première mention d’Unflod est apparue sur Reddit hier. Après avoir fait planter plusieurs de ses applications sur son iPhone, l’utilisateur de Reddit tdvx a commencé à désactiver les extensions MobileSubstrate et à les réactiver jusqu’à ce qu’il soit en mesure d’identifier un coupable potentiel : Unflod.dylib.
Après avoir examiné un peu plus la question, l’utilisateur de Reddit minilover11 a trouvé des preuves troublantes qu’Unflod porte tous les signes d’un malware, capturant votre identifiant Apple et votre mot de passe et les envoyant quelque part en Chine. Il explique:
Après avoir utilisé à la fois Hopper et IDA (bien que je ne sois en aucun cas très doué pour lire le code assembleur ou intermédiaire), Unflod.dylib semble remplacer la fonction “SSLWrite” et capture appleId et mot de passe et leurs données à partir des données brutes plist dans les connexions SSL à Le serveur d’authentification d’Apple (/WebObjects/MZFinance.woa/wa/authenticate) et les envoie à 23.88.10.4 (un site chinois semble-t-il, d’après le message d’erreur qu’il affiche, pas dénigrant la Chine ou quoi que ce soit, juste basé sur le texte que le site renvoie ).
La société allemande de conseil en sécurité SektionEins a consulté son blog et a partagé d’autres découvertes sur Unflod.
Ce malware semble avoir une origine chinoise et se présente sous la forme d’une bibliothèque appelée Unflod.dylib qui se connecte à tous les processus en cours d’exécution des iDevices jailbreakés et écoute les connexions SSL sortantes. À partir de ces connexions, il essaie de voler l’identifiant Apple de l’appareil et le mot de passe correspondant et les envoie en clair à des serveurs avec des adresses IP sous le contrôle de sociétés d’hébergement américaines pour des clients apparemment chinois.
Bien que la source du logiciel malveillant n’ait pas encore été identifiée, elle semble être corrélée à l’installation de ce que j’aime appeler des dépôts « ombragés » (c’est-à-dire des repos pirates). Donc, si vous avez installé certains de ces dépôts qui distribuent des réglages piratés, vous pourriez avoir été infecté (toux toux).
La meilleure façon de savoir si vous avez été affecté est d’utiliser iFile et d’accéder à /Library/MobileSubstrate/DynamicLibraries/. Si vous voyez un fichier nommé Unflod.dylib, vous transportez ce malware sur votre appareil.
Le moyen rapide et facile de supprimer Unflod consiste à accéder à /Library/MobileSubstrate/DynamicLibraries/Unflod.dylib et à supprimer le fichier. Mais comme le notent les gens de SektionEins, la suppression de la bibliothèque dynamique Unflod pourrait ne pas suffire car nous ne savons pas encore si d’autres fichiers malveillants ont été installés.
En fin de compte, la meilleure chose à faire pour vous assurer de supprimer tous les fichiers potentiellement dangereux de votre appareil est de restaurer dans iTunes, ce qui entraînerait finalement la perte de votre jailbreak.
Si vous avez été affecté, vous devez absolument suivre les étapes ci-dessus pour supprimer Unflod, puis vous assurer de changer le mot de passe de votre identifiant Apple, qui pourrait avoir été compromis. La configuration de la vérification en deux étapes peut également être une bonne idée.
Cydia Community Manager Britta a publié des instructions détaillées sur la façon dont vous pouvez aider Saurik à comprendre ce qu’est Unflod, d’où il vient, etc. Retrouvez ces instructions ici.
Pour plus d’informations, vous pouvez vous référer aux publications suivantes :
Avez-vous été touché par Unflod ? Comme toujours, assurez-vous de partager vos découvertes ici dans la section des commentaires.