05 Μαρτίου 2010 ~ by ~ 13 Σχόλια

Προσοχή με τα Worms στο iPhone

Οδηγοί - How Tos - Hints and Tips

Πριν από ένα μήνα έκανα Restore το iPhone και όπως πάντα Set up as new θέλοντας να προλάβω την επερχόμενη αναβάθμιση του OS για να μην τρέχω μετά να κάνω downgrade για να μπορώ να κρατήσω το JB. Το iPhone στήθηκε από την αρχή με πολλή προσοχή. Η συσκευή συμπεριφερόταν άψογα χωρίς κανένα κρασάρισμα και χωρίς κανένα άλλο πρόβλημα αυτές τις μέρες.

Μια βδομάδα μετά παρατήρησα ένα πρόβλημα το οποίο είχα ξαναδεί και στο παρελθόν και τότε το είχα λύσει με ορισμένες απεγκαταστάσεις εφαρμογών τις οποίες δεν ξαναπέρασα ποτέ. Διαπίστωσα λοιπόν ότι άρχισε η μπαταρία μου να αδειάζει με πολύ γρήγορους ρυθμούς. Μιλάμε για περίπου 15%-20% την ώρα ενώ η συσκευή ήταν σε stand by. Θεωρώντας αρχικά ότι κάποια εφαρμογή (σπασμένη ή από cydia) είχε κρασάρει και έτρεχε στο παρασκήνιο έκανα ένα reboot και έβαλα το iPhone να φορτίσει. Σηκώθηκα την επόμενη μέρα το πρωί και το έβγαλα από το usb φορτισμένο πλήρως. Μέσα σε περίπου 2 ώρες η συσκευή είχε ήδη χάσει 30% από τη μπαταρία της.

Η πρώτη κίνηση που έκανα αφού πάλι ένα reboot δεν έλυσε το πρόβλημα ήταν να ανοίξω το εξαιρετικό MemTool (το οποίο θα βρείτε στο cydia) και άρχισα να κοιτάω τα processes που έτρεχαν. Προφανώς με μια πρώτη ματιά δεν μπορεί να καταλάβει κανείς αν υπάρχει εκεί κάτι ύποπτο οπότε αυτό που έκανα ήταν να αρχίσω να κάνω google σε κάθε process που έτρεχε για να δω από ποιά εφαρμογή προερχόταν το καθένα.

Τότε έπεσα πάνω στο πρόβλημα. Ένα από τα processes είχε το όνομα poc-bbot το οποίο εξαρχής φαινόταν ύποπτο. Με ένα googlισμα διαπίστωσα ότι το συγκεκριμένο process δεν ήταν τίποτα άλλο από ένα deamon το οποίο ήταν κομμάτι Worm από αυτά που διαβάζαμε πριν μερικούς μήνες που εγκαθιστούσαν άλλη φωτογραφία στη lockscreen. Σε εμένα προφανώς δεν είχε γίνει κάτι τέτοιο, παρα μόνο η τρελή κατανάλωση της μπαταρίας.

Στο συγκεκριμένο site βρήκα οδηγίες για το πώς να αφαιρεθεί το συγκεκριμένο Worm. Το Worm αυτό εγκαθιστά στη συσκευή τα παρακάτω αρχεία στις συγκεκριμένες θέσεις:

/bin/poc-bbot
/bin/sshpass
/var/log/youcanbeclosertogod.jpg
/var/mobile/LockBackground.jpg
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/var/lock/bbot.lock

Στη δική μου συσκευή είχαν εγκατασταθεί τα τέσσερα αρχεία που έχω σημειώσει με Bold, δηλαδή όλα εκτός από τα δύο jpgs. Πήγα και τα έσβησα με το iFile (η διαγραφή μπορεί να γίνει με iFile, SSH, iPhone Explorer/Browser και γενικά όποια εφαρμογή έχετε για πρόσβαση στο File System). Μετά την αφαίρεση των αρχείων αυτών το πρόβλημα λύθηκε.

Πώς δημιουργήθηκε το πρόβλημα;

Μετά το restore που έκανα ξέχασα για πρώτη φορά να αλλάξω τον κωδικό του root και του mobile user. Εκείνη την ημέρα έχοντας κάνει ένα reboot είχε μείνει ανοιχτό το SSH από το SBSettings (πάντα μετά από επανεκκίνηση ανοίγει αν έχετε το OpenSSH περασμένο) το οποίο σημαίνει ότι όταν το απόγευμα βγήκα έξω «κόλλησα» από κάποιο άλλο iPhone εκεί γύρω που ήταν ήδη μολυσμένο (έχοντας βγει για ποτό καθόταν δίπλα μου κάποιος με iPhone).

Εν κατακλείδι, πρώτα από όλα μην ξεχνάτε όσοι έχετε JB να αλλάζετε το Pass του root και του mobile user. Επίσης, αν δείτε μετά πρόβλημα στη συμπεριφορά της συσκευής κοιτάτε πάντα τι τρέχει στο background και φροντίστε να γνωρίζετε τι είναι το κάθε το process.

Πολλοί δεν καταλαβαίνουν ότι το JB ανοίγει τους ασκούς του Αιόλου και μπορεί να προκαλέσει προβλήματα όταν ο χρήστης δεν ξέρει να αντιμετωπίσει ορισμένες καταστάσεις που μπορεί να προκύψουν. Προσπαθήστε να μάθετε τη συσκευή που έχετε στα χέρια σας καλά πριν προχωρήσετε σε τέτοιες ενέργειες όπως το JB.

Σχετικά Άρθρα:

Tags: , , , ,

13 Responses to “Προσοχή με τα Worms στο iPhone”

  1. Nostradamus 7 Απριλίου 2010 at 9:13 μμ Permalink

    Με ποιο repo μου εμφανίζει το mem tool γιατί δεν το βρίσκω στο cydia?

      [Παράθεση]

  2. CarpeNoctum 7 Απριλίου 2010 at 9:22 μμ Permalink

    Στο iSpazio είναι: http://ispaziorepository.com/

    Γράφεται memtool – μία λέξη.

      [Παράθεση]

  3. Nostradamus 7 Απριλίου 2010 at 9:37 μμ Permalink

    Ευχαριστώ πολύ φίλε μου.Βασικά νομίζω ότι μου την έκανε το update του sbsetting,υπάρχει περίπτωση να βρω κάπου το .deb αρχείο της 3.0.5?

      [Παράθεση]

  4. CarpeNoctum 7 Απριλίου 2010 at 9:40 μμ Permalink

    Στο xsellize.com κοίταξες; Αν δεν υπάρχει συνήθως κάτι εκεί, δεν θα το βρεις αλλού.

      [Παράθεση]

  5. Nostradamus 8 Απριλίου 2010 at 4:12 μμ Permalink

    Στο xsellize.com κοίταξες; Αν δεν υπάρχει συνήθως κάτι εκεί, δεν θα το βρεις αλλού.   

    Ευχαριστώ φίλε για τις πληροφορίες & τις άμεσες απαντήσεις.

      [Παράθεση]

  6. CarpeNoctum 8 Απριλίου 2010 at 4:26 μμ Permalink

    Παρακαλώ :)

      [Παράθεση]

  7. petr00kos 3 Σεπτεμβρίου 2010 at 3:11 πμ Permalink

    Φιλε στο αρθρο αναφερεις οτι κολλησες ενω βγηκες εξω ? Οκευ καταλαβαινω αφησες το default root passwd και οποιοσδηποτε θα μπορουσε να αποκτησει προσβαση locally στο μηλοφωνο και να βαλει οτι θελει. ΑΠΟΜΑΚΡΥΣΜΕΝΑ ομως δεν καταλαβαινω πως κολλησες ? Να εισαι στο ιδιο wi-fi με καποιον και να ξερει το IP σου και να κανει κατι κακο οκ, αλλα απομακρυσμενα ? χωρις wi-fi χωρις τπτ πως ηρθε το worm σε εσενα ?

      [Παράθεση]

  8. CarpeNoctum 3 Σεπτεμβρίου 2010 at 10:11 πμ Permalink

    Τι να σου πω φίλε μου. Οπως είχαν κολλήσει ενα σωρό άλλοι τότε. Δεν ξέρω τι κώδικας ήταν ακριβώς.. Δεν ήμουν ομως ο μονος. Αν διαβαζες τοτε διαφορα άρθρα για το θεμα θα εβλεπες ότι η συμβουλή δεν ήταν η αποφυγή κοινόχρηστων ασυρματων δικτύων αλλα η αλλαγή του κωδικού. Γι αυτό κι εγώ υπεθεσα ότι μπορεί να συνεβει κάτι τέτοιο.

      [Παράθεση]

  9. petr00kos 3 Σεπτεμβρίου 2010 at 1:30 μμ Permalink

    Πρακτικα δε γινεται καταλαβες ? Καπως αλλιως κολλησες. Οτι κωδικας και να ηταν δε μεταφερεται με τον αερα :P πρεπει καπως να καταφερει να ερθει σε επικοινωνια με το μηλοφωνο σου. Απο καποια σελιδα ισως ? Ακομα και απο το cydia ξερω γω απο καποιο hacked η μολυσμενο debian file ? Οτιδηποτε αλλα οχι αυτο που αναφερεις. Να πας καπου δηλαδη και να κολλησεις ετσι απλα.

      [Παράθεση]

  10. CarpeNoctum 3 Σεπτεμβρίου 2010 at 1:48 μμ Permalink

    Ήταν κάτι τέτοιο όπως θα δεις στο link παρακάτω που περιγράφει πώς μεταδιδόταν. Οπως θα δεις παρακάτω, αρκούσε οι δυο συσκευές να είναι στο ίδιο ασύρματο δίκτυο. Παίζει να είχα μπει στο δίκτυο του μαγαζιού που ήμουν. Θυμάμαι πολύ χαρακτηριστικά τότε που το εψαξα ότι δε χρειαζόταν να μπεις σε καποια ιστοσελιδα. Απο τη στιγμή που είχες περάσει το openssh και δεν είχες αλλάξει κωδικό υπήρχε backdoor που εκμετελλευόταν το worm. Ούτε deb file είχα περάσει ούτε κάποιο package. Απ’ ό,τι φαίνεται χρησιμοποίησα κάποιο κοινόχρηστο ασύρματο δίκτυο στο οποίο ήταν ήδη συνδεδεμένο κάποιο μολυσμένο iPhone.

    http://www.neowin.net/news/new-iphone-worm-this-one-is-serious

      [Παράθεση]

  11. petr00kos 3 Σεπτεμβρίου 2010 at 10:02 μμ Permalink

    Ε ναι ετσι ναι συμφωνω :P , απλα ετσι οπως το γραφεις ακουγεται πολυ τρομακτικο ενω δεν ισχυει ! Φιλικα στα λεω δικε μου. Απλα μην το δει κανενας και τρομαξει, θελει ΟΝΤΩΣ προσοχη αλλα οχι και να κολλας αν πας ετσι απλα για καφε :P

      [Παράθεση]

  12. CarpeNoctum 4 Σεπτεμβρίου 2010 at 12:12 πμ Permalink

    Έχεις ένα δίκιο. Ίσως να μην το διατύπωσα σωστά. Όταν γράφεις ένα κείμενο μερικές φορές θεωρείς κάποια πράγματα δεδομένα. Τα σχόλιά μας εδώ ξεκαθαρίζουν το ζήτημα οπότε είμαστε εντάξει νομίζω :)

    Y.Γ. Μια χάρη.. Είδα στην ιστοσελίδα σου ότι έχεις πάρει κείμενό μου για την μπαταρία. Δεν έχω κανένα πρόβλημα με την ολόκληρη αναδημοσίευση αλλά σε παρακαλώ θα ήθελα στην αναφορά της πηγής να υπάρχει απευθείας link στο αυθεντικό άρθρο και όχι απλά αναφορά του nickname μου. Αυτό ισχύει και για ό,τι άλλο θέλει κάποιος να πάρει από εδώ. Ας πάρει το κείμενο, αλλά ζητάω να υπάρχει μια ελάχιστη αναγνώριση στην πηγή με active link στο αυθεντικό μου άρθρο.

    Σε ευχαριστώ :)

      [Παράθεση]

  13. petr00kos 5 Σεπτεμβρίου 2010 at 3:27 μμ Permalink

    εγινε φιλαρακι μου :) Μαρεσει ο τροπος που γραφεις. Και αυτα που γραφεις θα βοηθησουν πολυ κοσμο.. Συνεχισε ετσι

      [Παράθεση]


Leave a Reply