ใครที่ใช้ไอโฟน ไอแพดที่เจลเบรคเครื่องมาแล้ว ตอนนี้ถือว่ามีความเสี่ยงสูงจากช่องโหว่ SSL ที่แฮคเกอร์ใช้จู่โจมและขโมย Apple ID ของคุณได้

apple-id-no-password

ภัยคุกคามครั้งนี้เกิดขึ้นเมื่อมีผู้ใช้ Reddit หลายต่อหลายคนรายงานเข้ามาว่า เจอเหตุการณ์ที่คล้ายๆกันคือแอพพลิเคชั่นบางตัวเกิดอาการแครช เป็นผลให้เครื่องติดตั้ง MobileSubstrate add-on ที่มีชื่อว่า Unflod ลงในเครื่อง

MobileSubstrate หรือชื่อใหม่คือ Cydia Substrate ก็คือ เฟรมเวิร์คสำหรับอุปกรณ์ที่เจลเบรคที่ช่วยให้นักพัฒนาสามารถดัดแปลง iOS ได้ อะไรที่แอปเปิ้ลห้ามไม่ให้ทำก็เปลี่ยนให้ทำด้วยตัวเองได้บนเครื่องที่เจลเบรค รวมถึงเพิ่มความสามารถให้ไอโฟนทำอะไรใหม่ๆที่น่าสนใจได้อีก

แต่ดูเหมือนว่ามีแฮคเกอร์รายนึงได้สร้างมัลแวร์ dynamic library สำหรับ Cydia Substrate เพื่อให้มันเชื่อมต่อกับฟังกชั้น iOS SSLWrite ในการอ่านข้อมูลก่อนที่จะเข้ารหัสแล้วส่งผ่านการเชื่อมต่อ secure SSL ที่มีความปลอดภัย ซึ่ง library นี้มีชื่อว่า Unflod.dylib แต่ก็มีการค้นพบว่าก็มีการใช้ชื่อว่า framework.dylib ด้วยเหมือนกัน หลังจากที่เชื่อมต่อกับ SSLWrite แล้ว มัลแวร์จะทำหน้าที่สอดส่องเวลาที่คุณยืนยันตัวตนกับแอปเปิ้ล อย่างเวลาซื้อหนัง เพลง แอพหรือเข้าไปใช้บริการของแอปเปิ้ลที่ต้องใส่ Apple ID และรหัสผ่าน โดยมันจะส่งข้อมูลนี้ไปยัง hardcoded IP addresses ของแฮคเกอร์

ตอนนี้ยังไม่มีข้อมูลที่ชัดเจนว่า Unflod.dylib library ถูกติดตั้งลงในเครื่องที่เจลเบรคได้ยังไง แต่นักวิจัยตั้งข้อสันนิษฐานว่าอาจเกิดจากติดตั้ง packages ต่างๆที่ไม่ได้มาจากแหล่งอื่นๆที่ไม่เป็นทางการ มีหลักฐานว่าแฮคเกอร์รายนี้อาจจะเป็นคนจีนเพราะเมื่อสาวการเชื่อมต่อไปก็พบว่า library ตัวนี้ลงทะเบียนกับแอปเปิ้ลไว้เมื่อเดือนกุมภาพันธ์โดยนักพัฒนาชื่อว่า Wang Xin แต่ก็มีความเป็นไปได้ว่านี่อาจจะเป็นชื่อปลอมเช่นกัน ซึ่งอันนี้ก็ต้องให้แอปเปิ้ลสืบสาวกันต่อ

การป้องกันที่ทำได้สำหรับผู้ใช้เครื่องที่เจลเบรคก็คือ ให้ลบไฟล์ Unflod.dylib/framework.dylib binary ออกจากเครื่อง แล้วทำการเปลี่ยนรหัสผ่านของ Apple ID ก็จะช่วยป้องกันได้ระดับนึง แต่สิ่งที่ยังไม่รู้ก็คือถึงจะลบมัออกไปแล้ว แต่มันยังจะฝากมัลแวร์ตัวอื่นๆไว้อีกรึเปล่า วิธีที่ดีที่สุดก็คือทำการ restore ล้างเครื่องแบบหมดจดค่ะ

ถ้าคุณไม่ได้ใช้เครื่องที่เจลเบรคก็ไม่มีอะไรน่าห่วง เพราะคุณจะไม่ได้รับผลกระทบใดๆจากมัลแวร์ตัวนี้ค่ะ