如何避免你的越狱设备受到恶意软件的侵袭？

Jailbreak Tips

MainRepo 工作原理；

如何保护越狱设备免受侵害？

如何安装 iSecureOS？

iSecureOS 支持哪些设备和 iOS 版本？

普通扫描和深度扫描有什么区别？

检测到恶意软件时会发生什么？

攻击者对 iSecureOS 有何反应？

MainRepo 恶意软件能做什么？

怎样才能保持越狱设备安全？

为了保护你的越狱 iOS 设备免受恶意软件和病毒的侵害，你首先需要了解此类威胁的来源。最近几个月，越狱社区中恶意软件的数量显着增加。之前一个名为 MainRepo 的盗版存储库，它将僵尸网络恶意软件传播到越狱设备上。

《MainRepo 存储库将恶意软件注入越狱设备》

越狱社区中的恶意软件一直存在，但感染程度非常低，而 MainRepo 恶意软件向越狱用户展示了他们使用的工具的不同面貌。

MainRepo 工作原理

该恶意软件首先由 iOS 开发人员@opa334dev 发现，该恶意软件是由其存储库远程安装到用户设备上的，它允许存储库通过网络发送命令来远程控制设备。由于 crux 是一个用于以 root 权限运行命令的小型命令行实用程序，因此这些命令将以 root 身份运行。然后，恶意软件将能够立即在用户设备上执行攻击者想要的任何命令，从而创建一个基本的越狱设备僵尸网络。

《开发者 opa334 发现并公布恶意插件，如何检测发现并清除？》

@opa334dev 介绍说，恶意软件会模仿真正的越狱组件，如 MobileSubstrate 或 MobileSafeMode 等文件，以避免被用户删除。更糟糕的是，即使用户删除了该源所安装的插件，恶意软件仍然存在于他们的设备上。

控制是通过他们第一次在设备后台运行恶意软件时收集的唯一设备标识号完成的。使用这个唯一 ID，他们可以向特定设备或一组设备发送他们想要的任何命令，从而创建一个僵尸网络。

@opa334dev 发现几天后，知名杀毒公司 ESET Research 也对该恶意软件进行了分析，基本证实了 opa334dev 的发现，并为该恶意软件命名。他们称之为 iOS/Spy.Postlo.A。

如何保护越狱设备免受侵害？

对于越狱设备来说，风险要比不越狱设备高，除了有超级用户权限外，安装各类插件都会有安全隐患。

要避免受对恶意软件的侵害，最好的办法是在安装插件选择正规或官方途径来安装，避免使用一些来源不明的存储库。

另外，也可以使用针对此类问题的专用插件或应用，比如之前我们介绍过一款针对此类恶意软件的专用 iSecureOS。

iSecureOS 是由 iOS 开发人员 GeoSn0w 发布的越狱安全插件，这是一个用于越狱设备的反恶意软件工具/安全应用程序。

《iSecureOS: 越狱设备的 iOS 安全应用程序发布》

《iSecureOS 越狱设备的反恶意软件应用程序》

该插件本身是完全免费的，它会分析设备上的文件并查找可能的恶意软件。如果需要打开各种设置以提供更好的保护，或者设备易受攻击，该工具还会向用户提供一些安全提示。

iSecureOS 目前兼容所有三大越狱：checkra1n、unc0ver 和 Taurine 越狱。它也适用于 Odyssey、Chimera 和任何其他 iOS 12 及更高版本的越狱。

iSecureOS 是完全开源的，因此，每个人都可以看到它的工作原理以及它在设备上运行的代码。源代码可在官方 iSecureOS GitHub 存储库中获得。

如何安装 iSecureOS？

安装 iSecureOS 插件相当简单，可以通过 Cydia、Sileo、Zebra 或任何其他包管理器完成。请按照以下步骤在你的设备上安装 iSecureOS。

官方 iSecureOS 存储库：

http ://isecureos.idevicecentral.com/repo

iSecureOS 支持哪些设备和 iOS 版本？

支持所有运行 iOS 12 或更新版本的设备，包括所有流行越狱的 A12、A13 和 A14 设备。此外，iSecureOS 可以从任何包管理器安装，或者通过命令行/SSH 直接使用 apt 二进制文件。

普通扫描和深度扫描有什么区别？

正常扫描将查看存储在越狱默认 dylibs 文件夹中的文件，当你在 Cydia / Sileo 中安装调整时，所有调整 dylib 都放置在该文件夹中。这些 dylib 文件被注入到适当的进程中，它们会修补普通 iOS 程序的代码以改变它们的行为。这就是 iOS 调整的工作方式，也是恶意软件的主要目标。

深度扫描将扫描上述文件夹，但它也会扫描其他文件夹和二进制文件，这些文件夹和二进制文件不一定是微调，例如越狱引导程序文件和其他可能被恶意软件更改的越狱可执行文件。

注意：如果正常扫描产生恶意软件结果，最好也执行深度扫描，因为这意味着你的设备已被感染。

检测到恶意软件时会发生什么？

如果在扫描过程中 iSecureOS 在定义数据库中发现与已知恶意软件匹配的恶意软件，它会自动隔离到远程位置，文件将被隔离，但不会被删除。你可以随时在 iSecureOS 设置中选择清除隔离区，但是一旦恶意软件被发送到隔离区，它就不再由你的设备执行并且无法对其造成伤害。

建议彻底清除隔离区。

攻击者对 iSecureOS 有何反应？

iOS/Spy.Postlo.A 恶意软件的创建者 MainRepo 将 iSecureOS 视为对其攻击模型的威胁，并通过尝试直接修补 iSecureOS 或通过修改下载的定义来尝试以各种方式规避检测。

iSecureOS 不断在更新，这些更新扼杀了 MainRepo 的检测方法，并且由于@opa334dev 采取的行动，他们的 repo 域被删除 (mainrepo.org)。但是，它们以不同的名称 (mrepo.org) 返回，但具有相同的阴暗做法和恶意软件。

MainRepo 恶意软件能做什么？

MainRepo 恶意软件被认为是一种间谍软件工具，它有可能从受害者的设备收集他们想要的任何信息，可以在设备上运行命令，最重要的是，他们可以在不留下任何痕迹的情况下执行此操作，因为所有恶意软件代码在后台静默运行，用户完全不知道发生了什么。

事实上，MainRepo 已经将命令推送到受害者的设备，以防止 iSecureOS 被扫描或被安装，这表明他们确实将在这些设备上执行的任意命令了。

怎样才能保持越狱设备安全？

为防止恶意软件感染你的设备，最好遵循以下准则：

请避免使用 mainrepo.org 或 mrepo.org。

安装 iSecureOS（完全免费）并定期运行扫描。

永远不要使用默认的 SSH 密码（alpine）。可以通过终端应用修改，Cydia 中有修改 SSH

命令的说明。另外也可以直接使用 iSecureOS 更改 SSH 密码，如果检测到默认密码，它会提示你进行更改。

使你的插件和越狱实用程序保持最新。

不要在移动设备上访问可疑网站。WebKit 漏洞可以轻松地从你的设备中窃取数据。

总结

只要你遵循一些常识性准则并避免可疑的存储库或源，越狱的 iOS 设备是一件非常安全的事情。如果可以，请使用 Dynastic 或 Chariz / Packix 等知名存储库。这些都经过定期审查和检查。如果使用盗版插件，可以参考以上内容

来源：越狱实录