正規版のiOSを狙う攻撃、FireEyeが最新バージョンへのアップデート呼びかけ

注入後のdylibは、アプリの実行ファイルの一部として機能する。アプリのコンテナ内の全データを読み取り/修正することで機密情報を収集し、リモートサーバに送信することが可能となる。

具体的な内容は、「Skype、WeChatなどの音声通話の録音」「Skype、WhatsApp、Facebookメッセンジャーなどのテキストメッセージの傍受」「ChromeでのWebサイト閲覧履歴」「通話内容」「SMS/iMessageの内容」「バックグラウンドで記録された高精度GPS座標」「連絡先情報」「写真」。

dylibのデータ・アップロード機能は、標的となったユーザーからのアップロードに限られ、dylibはリモートサーバにIMEIを送信することで、ターゲット・デバイスが攻撃対象としてふさわしいかどうかを検証している。その後サーバはデータを窃取するかどうか指示する。

同社は「SKIP-LICENSE」鍵がキーチェーン内で「1」に設定されている場合、検証を迂回するロジックがあることを発見し、これにより、被害者が有用だと判断された場合は、ローカルの共謀者がこの値を「1」に設定することで、情報の窃取を強制できる。