Con la salida del último jailbreak para IOS5 y dispositivos A5 como el iPhone 4S o el iPad2 son miles los nuevos sistemas que lo primero que hacen es descargar de cydia "Install0us", la alternativa pirata de la AppleStore, que actúa como cliente para instalar el software de la web Apptrackr.org donde el contenido de los paquetes no es analizado y puede incluir malware.
Install0us no es la única vía de infección, ya que existen muchos otros repositorios piratas como xsellize o iHacksrepo que abren nuevas puertas de infección.
Es habitual encontrar entre estos repositorios una herramienta del tipo "Hacklous Security" o "Xsellize Security" y con este nombre, muchos usuarios puedan presuponer que instalándola ya estarán seguros de cualquier amenaza.
Nada mas lejos de la realidad.
Estas utilidades únicamente se aseguran que cuando algo es descargado de su repositorio, sea realmente de su repositorio de donde se descargan y no de otro falso. Esto lo hacen añadiendo o borrando entradas estáticas de DNS en el archivo /etc/hosts del terminal.
Esto evita que un móvil sufra de pharming y descargue algo que realmente no deseaba descargar. Pero ni comprueba el fichero, ni verifica ningún otro punto, lo que posiblemente lleve a un usuario a tener una falsa sensación de seguridad.
En el caso por ejemplo de Xsellize Security (com.xsellize.xsecurity), su paquete se compone de un script que arranca al iniciar el iPhone y que elimina las entradas que haya en su repositorio:
Para el caso de Hacklous Security, los hosts que son añadidos en el /etc/hosts con un "postinstall" script del paquete .deb:
Otra cuestión es si todos los piratas de 1€ merecen o no ser infectados ;-)
Install0us no es la única vía de infección, ya que existen muchos otros repositorios piratas como xsellize o iHacksrepo que abren nuevas puertas de infección.
Es habitual encontrar entre estos repositorios una herramienta del tipo "Hacklous Security" o "Xsellize Security" y con este nombre, muchos usuarios puedan presuponer que instalándola ya estarán seguros de cualquier amenaza.
Nada mas lejos de la realidad.
Estas utilidades únicamente se aseguran que cuando algo es descargado de su repositorio, sea realmente de su repositorio de donde se descargan y no de otro falso. Esto lo hacen añadiendo o borrando entradas estáticas de DNS en el archivo /etc/hosts del terminal.
Esto evita que un móvil sufra de pharming y descargue algo que realmente no deseaba descargar. Pero ni comprueba el fichero, ni verifica ningún otro punto, lo que posiblemente lleve a un usuario a tener una falsa sensación de seguridad.
En el caso por ejemplo de Xsellize Security (com.xsellize.xsecurity), su paquete se compone de un script que arranca al iniciar el iPhone y que elimina las entradas que haya en su repositorio:
iPhone:~/tmp root# dpkg -L com.xsellize.xsecurity /. /System /System/Library /System/Library/LaunchDaemons /System/Library/LaunchDaemons/com.xsellize-security.plist /usr /usr/bin /usr/bin/xsellize-security
iPhone:~/tmp root# plutil /System/Library/LaunchDaemons/com.xsellize-security.plist { Label = "com.xsellize-security"; LaunchOnlyOnce = 1; Nice = 2; OnDemand = 0; ProgramArguments = ( "/usr/bin/xsellize-security" ); UserName = root; }
iPhone:~/tmp root# cat /usr/bin/xsellize-security if [ ! -e /etc/hosts ]; then echo "Hosts file does not exist" else sed -e "s/xsellize/idontthinkso/g" -i /etc/hosts echo "Patched hosts" echo "Will automagically patch the hosts file on reboot if there is an entry" echo "with xSellize.com in the hosts file" echo echo echo "Please report any bugs to admin@xsellize.com" fi
Para el caso de Hacklous Security, los hosts que son añadidos en el /etc/hosts con un "postinstall" script del paquete .deb:
iPhone:~/tmp root# dpkg -L us.hackulo.security /. /usr /usr/lib /usr/lib/hackulous /usr/lib/hackulous/shosts.sign /usr/lib/hackulous/.hackulous.security.pubkey.pem /usr/lib/hackulous/shosts.data
iPhone:~/tmp root# cat /usr/lib/hackulous/shosts.data 188.165.196.30 appulous.org 188.165.196.30 www.appulous.org 188.165.196.30 cydia.appulous.org 188.165.196.30 apt.appulous.org 188.165.196.30 ftp.appulous.org 188.165.196.30 hackulous.org 188.165.196.30 www.hackulous.org 188.165.196.30 cydia.hackulous.org ...
Otra cuestión es si todos los piratas de 1€ merecen o no ser infectados ;-)
1 comments :
Muchas gracias por el tip, que no hay nada peor que creer que te estás protegiendo y que no sea así.
Publicar un comentario