L’attacco sembra essersi originato in Olanda e prendere di mira esclusivamente i dispositivi Apple iPhone che sono stati oggetto di “jailbreaking” (procedura di sblocco che di fatto permette l’installazione di software non ufficiale, non commercializzato attraverso il negozio online della società della mela). Il malware, una volta infettato il telefono, lo mette sotto scacco richiedendo al proprietario il pagamento di un importo “di riscatto” parti a cinque euro.
Uno dei problemi più comuni tra gli iPhone “sbloccati” è che essi eseguono molteplici servizi, tra i quali SSH. L’attivazione di SSH, protocollo che consente di stabilire una sessione di lavoro remota e cifrata basata su riga di comando, rende insicuro il dispositivo di Apple dal momento che viene utilizzata una password di default aprendo potenzialmente il device alle connessioni “root” provenienti dall’esterno.
La password predefinita può essere comunque modificata da parte dell’utente collegandosi all’iPhone, per esempio, con un client SSH da Windows (i.e. il software “PuTTY) oppure installando il pacchetto “MobileTerminal“.
Da ieri ha iniziato addirittura a diffondersi un vero e proprio worm – battezzato iKee -. Scritto con il linguaggio C, il funzionamento del worm è assai semplice: dopo essere andato in esecuzione, iKee inizia ad effettuare una scansione di gruppi di indirizzi IP. Al momento tutti gli IP sembrano appartenere ad utenti australiani facenti uso di connessioni mobili 3G. Nel caso in cui la connessione ad un indirizzo IP avvenga con successo, il worm prova ad effettuare il login come utente “root”. Successivamente il worm passa alla “fase due”: copia il suo payload nell’iPhone vulnerabile insieme con diversi altri file, disabilita completamente il servizio SSH in modo che il dispositivo non possa essere infettato nuovamente da parte di nuovi aggressori e cambia l’immagine di sfondo.
Il worm evidenzia i rischi collegati all’esecuzione, sull’iPhone, di codice non autenticato. Mesi fa la stessa Apple aveva ricordato che “le attuali tecniche di jailbreaking fanno uso di modifiche non autorizzate del bootloader e del sistema operativo: tali pratiche comportano una violazione del copyright”. I commenti dell’azienda, inviati al “Copyright Office” statunitense, sono stati presentati in risposta ad una richiesta sollevata lo scorso anno da EFF. L’associazione aveva richiesto una possibile esclusione dal “Digital Millennium Copyright Act” (DMCA) per la prassi del jailbreaking.