DylibSearchは、KeyRaiderなどの既知の悪意ある改ざんがデバイスにインストールされているかどうかを素早く確認できる新しい脱獄アプリです。ファイルシステムのMobileSubstrateディレクトリに含まれる.dylibファイルの内容をスキャンすることで、このアプリは機能します。
DylibSearchは、悪意のあるファイルに含まれる既知の文字列をチェックすることで、iPhoneが感染しているかどうか、あるいは問題がないかどうかを素早く判断できます。このオープンソースの調整機能は、この記事内に掲載されている特別なサードパーティリポジトリから入手できます。
DylibSearch をインストールするには、Cydia ソースに次のリポジトリを追加します。
http://wolfposd.github.io/
リポジトリを追加したら、「DylibSearch」を検索するか、リポジトリフォルダを開いてパッケージを直接見つけてください。DylibSearchをインストールすると、ホーム画面に新しいアプリアイコンが表示されます。
DylibSearchアプリを起動すると、/Library/MobileSubstrate/DynamicLibrariesにあるすべての.dylibファイルが一覧表示される画面が表示されます。問題のないファイルにはファイル名の横に緑色のチェックマークが表示され、感染したファイルには赤い「x」アイコンが表示されます。
DylibSearchは不正なファイルを特定するのに役立ちますが、実際に削除するわけではありません。削除するには、iFileなどのアプリを使用してDynamicLibrariesフォルダに移動し、手動でファイルを削除する必要があります。
最近のKeyRaider攻撃は、DylibSearchが識別できる攻撃の一つです。GitHubのオープンソースプロジェクトからわかるように、DylibSearchはDynamicLibrariesディレクトリ内で以下の文字列を検索します。
- ウシドウ
- gotoip4
- バム
- 漢字を取得する
これらは、悪質なCydia Substrate改造ツールに含まれることが知られている文字列です。もちろん、コマンドラインで再帰grep検索を使用するなど、悪質な脱獄改造ツールを特定する方法は他にもありますが、この改造ツールほど簡単なものはありません。
中国国外に住んでいて、怪しい脱獄ツールをダウンロードしたことがない場合は、感染している可能性はゼロに近いですが、これは潜在的な感染を素早く特定するのに適したツールであり、検索文字列が追加されるにつれて、さらに充実していくでしょう。
DylibSearch についてのご意見を、ぜひ下のコメント欄で共有してください。
