Tuesday, July 27, 2010

Worm para iPhone Jailbreaked

Olá amigos! Ontem (26/07/10) a mídia noticiou, com grande entusiasmo, uma decisão polêmica do governo dos Estados Unidos a favor dos usuários do iPhone: o Jailbreak foi considerado uma prática legal, ou seja, a Apple não pode processar quem faz Jailbreak, muito menos os hackers que divulgam formas de Jailbreak. Na prática, os usuários dos iDevices (iPhone, iPod Touch e iPad) agora podem utilizar softwares não aprovados pela Apple: os apps banidos da AppStore podem ser comercializados pelo Cydia, a loja alternativa. Esta decisão foi baseada no princípio de que os consumidores têm o direito de modificar seus aparelhos da maneira que quiserem. “Se você comprou, ele é seu”, argumenta Jennifer Stisa Granick, da Electronic Frontier Foundation (EFF, ou Fundação Fronteira Eletrônica), uma organização sem fins lucrativos que visa proteger os direitos de liberdade de expressão no contexto da era digital. Indiretamente, a decisão favorece também aqueles que fazem pirataria dos apps disponíveis na AppStore, mas isso é outra história. A Apple sempre foi contra o Jailbreak, argumentando que a prática deixa o iDevice mais vulnerável. De fato, as principais vulnerabilidades disponíveis para iDevices hoje, utilizam SSH (openSSH, habilitado pelo Jailbreak) para infectar os dispositivos. Quando você abre o Cydia, uma das opções da tela principal chama-se Root Password How-To: um passo a passo para alteração da senha do root (a senha padrão é "alpine").


Bem, há alguns dias percebi que meu iPhone estava comendo bateria com farinha, a carga não durava praticamente nada, a primeira coisa que pensei foi: iPhone 3G, velhinho, a bateria já era... Hoje pela manhã, assim que acordei, pensei:  quais processos estão rodando aqui? Abro o bom e velho terminal, #top, e um processo me chama a atenção: poc-bbot. Acho que foi o hífen, não é característico... Uma busca rápida no Google, ainda com sono e... Voilá!! Um wormzinho sem vergonha, ikee, tem até variantes...  #kill no processo, deleto os arquivos e reboot, tudo funciona bem, simples assim... Alterei a senha do root e deixei o iPhone fora da tomada hoje e a bateria está super bem, com 46% de carga, e usando bem: ligações, e-mails, TWITTER (eheheh).... Por excesso de zelo, alterei minha senha do Twitter e minhas senhas de e-mail que estão cadastradas no iPhone, nunca se sabe....

O procedimento para remover este worm eu copiei do iPhone FAQ:


How do I remove the ikee virus from my iPhone?
The ikee worm has spread to jailbroken iPhones in Australia running SSH with the default root password. Follow the steps below to remove all ikee code and prevent Rick Astley from reappearing on your lock screen:
For known variants A, B or C
1. Run the Terminal app.
2. Enter each of the following commands followed by "return" to remove these files.

  • rm /bin/poc-bbot
  • rm /bin/sshpass
  • rm /System/Library/LaunchDaemons/com.ikey.bbot.plist
  • rm /var/lock/bbot.lock
  • rm /var/log/youcanbeclosertogod.jpg
  • rm /var/mobile/LockBackground.jpg

3. Reboot your iPhone.
4. Reinstall the SSH package from Cydia.
5. Follow these instructions to change your default root password and prevent reinfection!

For known variant D
1. Run the Terminal app.
2. Enter each of the following commands followed by "return" to remove these files.

  • rm /System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
  • rm /usr/libexec/cydia/startup
  • rm /usr/libexec/cydia/startup-helper
  • rm /usr/libexec/cydia/startup.so

3. Enter each of the following commands followed by "return" to reinstall Cydia.
  • su root
  • alpine
  • get-app remove cydia
  • get-app install cydia

4. Reboot your iPhone.
5. Follow these instructions to change your default root password and prevent reinfection!


iphone worm ikee

Por sorte, o Zé Bonitinho aí não apareceu no meu background, mas ele é um sintoma da infecção....

Mais info:

http://www.pcworld.com/businesscenter/article/182893/how_to_deworm_your_iphone.html
http://www.pcworld.com/businesscenter/article/182843/third_iphone_worm_targets_jailbroken_iphones.html
http://www.pcworld.com/businesscenter/article/181906/new_iphone_malware_steals_data_from_jailbroken_phones.html
http://www.macworld.com/article/143784/2009/11/iphone_password.html
http://www.macworld.com/article/143781/2009/11/jailbreak_exploit.html

No comments:

Post a Comment