15 febrero 2012

Sobre Hacklous Security, Xsellize security e iHackSecurity

Con la salida del último jailbreak para IOS5 y dispositivos A5 como el iPhone 4S o el iPad2 son miles los nuevos sistemas que lo primero que hacen es descargar de cydia "Install0us", la alternativa pirata de la AppleStore, que actúa como cliente para instalar el software de la web Apptrackr.org donde el contenido de los paquetes no es analizado y puede incluir malware.

Install0us no es la única vía de infección, ya que existen muchos otros repositorios piratas como xsellize o iHacksrepo que abren nuevas puertas de infección.

Es habitual encontrar entre estos repositorios una herramienta del tipo "Hacklous Security" o "Xsellize Security" y con este nombre, muchos usuarios puedan presuponer que instalándola ya estarán seguros de cualquier amenaza.

Nada mas lejos de la realidad.

Estas utilidades únicamente se aseguran que cuando algo es descargado de su repositorio, sea realmente de su repositorio de donde se descargan y no de otro falso. Esto lo hacen añadiendo  o borrando entradas estáticas de DNS en el archivo /etc/hosts del terminal.

Esto evita que un móvil sufra de pharming y descargue algo que realmente no deseaba descargar. Pero ni comprueba el fichero, ni verifica ningún otro punto, lo que posiblemente lleve a un usuario a tener una falsa sensación de seguridad.

En el caso por ejemplo de Xsellize Security (com.xsellize.xsecurity), su paquete se compone de un script que arranca al iniciar el iPhone y que elimina las entradas que haya en su repositorio:

iPhone:~/tmp root# dpkg -L com.xsellize.xsecurity
/.
/System
/System/Library
/System/Library/LaunchDaemons
/System/Library/LaunchDaemons/com.xsellize-security.plist
/usr
/usr/bin
/usr/bin/xsellize-security

iPhone:~/tmp root# plutil /System/Library/LaunchDaemons/com.xsellize-security.plist
{
    Label = "com.xsellize-security";
    LaunchOnlyOnce = 1;
    Nice = 2;
    OnDemand = 0;
    ProgramArguments =     (
        "/usr/bin/xsellize-security"
    );
    UserName = root;
}


iPhone:~/tmp root# cat /usr/bin/xsellize-security
if [ ! -e /etc/hosts ]; then
        echo "Hosts file does not exist"
else
        sed -e "s/xsellize/idontthinkso/g" -i /etc/hosts
        echo "Patched hosts"
        echo "Will automagically patch the hosts file on reboot if there is an entry"
        echo "with xSellize.com in the hosts file"
        echo
        echo
        echo "Please report any bugs to admin@xsellize.com"
fi


Para el caso de Hacklous Security, los hosts que son añadidos en el /etc/hosts con un "postinstall" script del paquete .deb:

iPhone:~/tmp root# dpkg -L us.hackulo.security
/.
/usr
/usr/lib
/usr/lib/hackulous
/usr/lib/hackulous/shosts.sign
/usr/lib/hackulous/.hackulous.security.pubkey.pem
/usr/lib/hackulous/shosts.data

iPhone:~/tmp root# cat /usr/lib/hackulous/shosts.data
188.165.196.30  appulous.org
188.165.196.30  www.appulous.org
188.165.196.30  cydia.appulous.org
188.165.196.30  apt.appulous.org
188.165.196.30  ftp.appulous.org
188.165.196.30  hackulous.org
188.165.196.30  www.hackulous.org
188.165.196.30  cydia.hackulous.org
...

Otra cuestión es si todos los piratas de 1€ merecen o no ser infectados ;-)

1 comments :

Rafi dijo...

Muchas gracias por el tip, que no hay nada peor que creer que te estás protegiendo y que no sea así.