危険！今すく削除！脱獄アプリ「Lock Saver Free」にトロイの木馬が確認される

脱獄後にCydiaのModMyiから無料でインストールできるLock Saver FreeというTweakがある。

iDownloadblogの新たな情報で、無料版である「Lock Saver Free」をインストールするとトロイの木馬が付属してくるのでインストールしないように、と報じている。

※本記事は脱獄（Jailbreak）iOSデバイス向けの記事です。脱獄や脱獄後に関しては以下のリンクを参考にして下さい。

Lock Saver Freeはインストールしないように

問題のLock Saver FreeはCydia、ModMyiから無料で簡単にインストールできてしまう。

Lock Saver Freeはバッテリー消費を改善してくれるTweakであるLock Saverの無料版だと思わせるようなネーミングとなっている。作者もまた有料版と似たような名前で公開されている。

有料版であるLock Saverには問題がなかったようだが、有料版のTweakの一部だけを使えるようにした無料版を装ってトロイの木馬を付属させるという仕組みのようだ。

“Lock Saver Free” in Cydia contains a trojan that appears to hook into AdMob banners and steal revenue. Also stays behind after uninstall
— S (@unimp0rtanttech) July 24, 2015

OpenNotifierの開発者でもある@unimp0rtanttech氏の報告によると、Lock Saver FreeをインストールするとAdMobという広告バナーが表示され、そこから収益を得るためにトロイの木馬をしのばせているとのこと。

追記（2015/07/26）
現在ModMyiから削除されている。

インストールされたものと場所

実際にLock Saver Freeをインストールしてみると情報通り、以下の2つのディレクトリにそれぞれ2つのファイルが入っていた。

/Library/MobileSubstrate/DynamicLibraries/

/var/mobile/Library/Preferences/

Service.dylib
Service.plist

もしインストールしてしまったら

1. アンインストールと2つのファイルの削除

場所やファイルについては上記の通りだ。

もしLock Saver Freeをインストールしていた場合はすぐにアンインストールしよう。

一度インストールしてしまった場合は早めにiFileやiFunboxなどを使い、

/Library/MobileSubstrate/DynamicLibraries/
/var/mobile/Library/Preferences/

のディレクトリにあるService.dylibファイルとService.plistファイルの2つをそれぞれ削除しよう。実際にはDynamicLibrariesの方に入っているのはシンボリックリンクでショートカットのようなものなのでPreferences側に入っている方が重要かもしれない。

（Libraryやvar以下のディレクトリが表示されない場合はCydiaからTaiG AFC2またはApple File Conduit “2”がインストールされていることを確認しよう。）

2. 権限が書き換えられているので戻す

@JeffBenjam @pr1son3r It also makes /Library/MobileSubstrate/DynamicLibraries recursively writable and sends off UDIDs.
— Allan Kerr (@Dev_AllanKerr) July 25, 2015

Watchdogの開発者でおなじみの Allan Kerr氏によると、上記の手順で削除するだけでなく、Service.dylibをダウンロードしてしまったことにより、/Library/MobileSubstrate/DynamicLibrariesのパーミッションが変更されていることがわかっている。

本来この場所の権限は755である。Service.dylibをダウンロードしたことで777に変更されてしまっていることがわかる。これは危険なことであるため、755に戻しておく必要がある。

戻し方