A Palo Alto Networks és a legnagyobb kínai Apple-fan csoport, a WeipTech (Weiphone Tech Team) néhány tagja közösen fedezett fel egy olyan malware-t, amely eddig 225 ezer felhasználói fiók bejelentkezési adatait szerezte meg 18 országban. Az USA és Kína mellett veszélyeztetett területnek számít például Franciaország, Nagy-Britannia, Németország és Oroszország is.

A tolvajt is meglophatták

A malware tevékenységére egy egyetemista WeipTech-tag figyelt fel, aki annak ment utána, hogy egyes iOS-felhasználók arról számoltak be, hogy valaki illegálisan használta az Apple-fiókjukat, a nevükben vásárolt az App Store-ban. Mások pedig arra panaszkodtak, hogy nem tudták feloldani a készüléküket.

A nyomokat követve jutottak el a kutatók egy vezérlő szerverhez, amiben találtak egy triviális SQL injection sebezhetőséget, amin keresztül sikerült belenézniük a szerverbe. Így találták meg a több mint 225 ezer fiók adatát. A kutatók azonban csak az ellopott információk bő feléhez jutotak hozzá, közben a vezérlő szerver biztonsági réseit befoltozták a támadók. Az így megszerzett fiókinformációkat a Palo Alto átadta az Apple-nek.

A KeyRaider nevű károkozó a jailbreakelt, eszközöket veszélyezteti, azaz az olyan eszközöket, melyeken olyan operációs rendszer fut, amin elérhetőek a telefon rejtett és tiltott funkciói, illetve a telefon gyártója által meghatározott szoftvereken kívül egyéb forrásból származó alkalmazások is telepíthetők és futtathatók rajta. A kórokozó a jailbreakelt iOS-hez fejlesztett Cydia alkalmazásokból juthat a készülékekbe. Ez azért is nagy probléma, mert a Cydia az iOS legfontosabb független külsős digitális forgalmazási platformja.

A Palo Alto Networks közleménye szerint a malware az iTunes adatforgalmát figyeli. Ennek során azonban az Apple-fiókok bejelentkezési adatai mellett egyes eszközök globális egyedi azonosítóját (GUID – Globally Unique Identifier), a push értesítésekhez tartozó tanúsítványokat, privát kulcsokat és az App Store-vásárlási adatokat is meg tudja szerezni, a készülékfeloldási funkciót pedig ki tudja kapcsolni.

Ingyenesen lehetett vásárolni az App Store-ból

Az megszerzett adatokat két olyan jailbreak-kiegészítő használja, amellyel egyrészt az App Store-ból lehet alkalmazásokat letölteni, másrészt alkalmazások funkcióihoz lehet hozzájutni – természetesen fizetés nélkül. A két kiegészítőt a Palo Alto Networks közleménye szerint mintegy 20 ezren töltötték le.

A Palo Alto Networks elemzése (egy kattintásnyira olvasható a teljes anyag) felhívja  a figyelmet arra, hogy az ellopott adatok másra is felhasználhatók. Többek között spamküldésre, zsrolásra (a készülékfeloldási funkció letiltásával), valamint arra is, hogy az App Store-ban egyes alkalmazásokat jobb pozícióba tegyenek az alkalmazások ranglistáján. Az adatokat emellett akár jövébeni célzott támadásokhoz is fel lehet használni. A kutatók hangsúlyozták: csak a jailbreakelt készülékeket veszélyezteti a támadás.

Az adatok Cupertinóban, labda tehát az Apple térfelén pattog, ám a cég egyelőre nem reagált.