Panguを使用後にPayPalやFacebookアカウントへの不正アクセスの報告?!

PeyPey 脱獄 コメントを投稿する

新たなPangu脱獄ツールにてiOS9.3.3の脱獄が可能になった。すでにいくつかのユーザーは知っているかもしれないが、脱獄後にいくつかのアカウントが危険に晒されたという報告があったようだ。

結論から言うと、根本的な原因はわかっていないが、報告されたことを簡単に紹介する。

iOS9.2からiOS9.3.3を脱獄する方法。[Pangu]
iOS9.2からiOS9.3.3を脱獄する方法。[Pangu]
2016-07-24

PPHelperが原因か…?

今回のiOS9.3.3のはじめの脱獄ツールは中国でリリースされ、これは中国企業の25PPによってホストされている。

一部のユーザーはその後に公開されたPPHelperを使用せずに脱獄することができていたが、その他のはじめの一部のユーザーは25PPの「PPHelper」というツールを使用して脱獄していた。

今回、危険に晒されたアカウントがあったと報告したredditユーザーの共通点は、PPHelperツールを使用したということである。そして、このWindows PCにインストールされたツールは不正アクセスする悪意のあるコードが含まれていたとまで発言するユーザーも。

複数のユーザーは、以下の1つ以上の不正アクセスの報告があった。

  • Facebook
  • PayPal
  • クレジットカードとデビットカードのアカウント

また共通しているのは、不正アクセス報告のほとんどが、
ベトナム台湾北京などの中国からである。

 

Saurik氏からのコメント

Comment from discussion [Discussion] Is Pangu’s jailbreak safe? An hour after I jailbroke, someone in Beijing accessed my Paypal and sent $50 to an unfamiliar email address..

Cydiaの作者であるSaurikはこの問題に関して、実際に脱獄ツールを作り上げたPanguは信頼しているが、25PPをインストールするという概念が好きではない。

中国企業はかなり押し付けがましくて、競合他社のソフトウェアに対して”好戦的”であるソフトウェアを持っている傾向があり、人々が署名するのが心配だったので、私はCydia Impactorを作成した

とコメント(一部抜粋)さらにSaurik氏は、実際にユーザーのPayPalアカウントに不正請求したという根本的な原因が25PPであるという、十分な証拠はこれっぽちもないと発言もしている。

 

当サイトでは紹介できていなかったが、「Cydia Impactor」はSaurikが作成したもので、Pangu.ipaファイルの英語版を署名するためのツールであるが、ほぼ同じぐらいのタイミングで公開されたPanguの英語版も、25PPに関連するソフトウェアをインストールしないので、比較的安全であり、かつ複数のプラットフォーム上で動作する。

 

Panguチームからのコメント

この問題に気づいたPanguチームはまずTwitterで以下のようにコメントした。

私たちPanguチームも25PPも、脱獄ツールを経由してユーザーのPayPalアカウントをハッキングしてお金を稼ぐなどというあまりにも愚かなことはしません。
できるだけ早くこの真相を見つけれることを願っています。

 

さらに続いて実際に問題があったユーザーとコンタクトをとるため、redditの公式アカウントを作成したこともツイートした。

 

redditでPanguがコメント

また上記のTwitterでコメント後、この問題が報告されていたredditの投稿にて、Panguは以下のように述べている。

Comment from discussion [Discussion] Is Pangu's jailbreak safe? An hour after I jailbroke, someone in Beijing accessed my Paypal and sent $50 to an unfamiliar email address..

Comment from discussion [Discussion] Is Pangu's jailbreak safe? An hour after I jailbroke, someone in Beijing accessed my Paypal and sent $50 to an unfamiliar email address..

こんにちは皆さん。これは私達の4つ目の脱獄ツールです。これは、私達が中国であってもいくつかの評判はあってもよいことだと思います。(西部のユーザーのほとんどは中国のソフトウェアを信頼していないことは知っています。)
なので、もしいくつかのユーザーが、私達があなた達のアカウントをハッキングしているとお考えであれば深く悲しく感じます。

また、私達は中国のユーザーからアカウント侵害の報告は受け取っていません。
アカウント侵害の問題を持つ人にお聞きしますが、あなたはどのバージョンを利用しましたか?中国バージョンでしょうか?英語バージョンでしょうか?

私たちはMyspaceとtumblrのアカウントが今年リークされていることに気づきましたが、同じアカウントを利用していませんでしたか?
できるだけこの問題の根本的な原因を見つけたいです。

そして、この投稿を読みましたが、英語バージョンを使用してアカウント侵害の問題がある人はいませんか?
もちろん私たちは、25PPとこのことについて話をしましたが、彼らもまた、この事について全く検討もつかないと話しています。

また私たちは、彼ら25PPのツール「PPHelper」のセキュリティ上の欠陥がないかをチェックしていますが、今のところ不審なものを発見できていません。

 

今のところ、日本ではそういった報告を目にしないので、一部の国だけの問題かもしれないが、1つ怖いことが報告されている。
脱獄を解除、つまり入獄した後にもポップアップ表示されるということである。

今のところ、根本的な原因をSaurik氏やPanguチーム、25PPのいずれも発見できていないが、分かり次第追記することにする。

 

とにかく言えることは、英語バージョンでの脱獄の方が比較的安全であるということ、そして最も重要な事は
脱獄自体が安全なものではない
ということ。これだけは覚えておきたい。