Hacker iPhone krijgt toegang tot logingegevens iTunes

Een hacker die zich via ssh toegang verschaft tot een gejailbreakte iPhone, kan de gebruikersnaam en het wachtwoord van het iTunes-account van de gebruiker achterhalen. Daarmee kan worden betaald in de downloadwinkel van Apple.

Een iTunes-account staat gekoppeld aan een creditcard of een Click 'n Buy-account, die weer gekoppeld is aan een bankrekening. Daardoor kan een iPhone-hacker in theorie aankopen doen op rekening van degene die hij heeft gehackt. Dat laat iPhone-hacker McFliatn aan Tweakers.net weten naar aanleiding van het artikel van maandag, waaruit bleek dat een tiener uit Hilversum tientallen iPhones had gekraakt.

McFliatn heeft dinsdagochtend veertig kwetsbare iPhones gevonden in korte tijd. Hij schat dat er honderden iPhones op deze manier gekraakt kunnen worden. De privé-gegevens zouden geautomatiseerd van de iPhones gehaald kunnen worden, denkt McFliatn. "Het is zeker niet moeilijk om hiervoor een bot te schrijven."

McFliatn heeft de iPhones gekraakt om T-Mobile aan te zetten tot betere beveiliging. Met NAT of door het sluiten van poort 22 kan niemand via ssh bij iPhones en is dit probleem opgelost. "Natuurlijk is het niet de verantwoordelijkheid van T-Mobile dat mensen hun iPhone jailbreaken, maar als er soortgelijke lekken onstaan op andere telefoonplatformen zou het net zo makkelijk zijn", meent de hacker. "T-Mobile moet in ieder geval het personeel op de ict-afdeling eens een flinke schop onder de kont verkopen."

De kwetsbaarheid ontstaat als mensen hun iPhone jailbreaken en via een app installer OpenSSH of een soortgelijke applicatie installeren, maar het rootpassword niet veranderen. Op die manier kan via ssh over een 3g-netwerk contact gemaakt worden met het toestel. Een hacker kan dan alle bestanden op de iPhone zien, bewerken, kopiëren en wissen. Bij de installatie van OpenSSH wordt er al op gewezen dat het veiliger is om het wachtwoord van de root te veranderen.

Door Arnoud Wokke

Redacteur

Feedback • 03-11-2009 16:14211

03-11-2009 • 16:14

211 Linkedin

Lees meer

Apple iPhone 3GS

geen prijs bekend

Score: 4.5

App maakt op privacy gerichte custom roms Android mogelijk Nieuws van 1 oktober 2010
Apple: frauduleuze aankopen via 400 accounts verricht Nieuws van 7 juli 2010
Hackers maken iTunes-accounts buit en manipuleren App Store Nieuws van 5 juli 2010
Franse overheid wil einde aan wachtwoorden op internet Nieuws van 3 februari 2010
Creditcardsysteem voor de iPhone komt binnen paar maanden uit Nieuws van 19 januari 2010
'Apple brengt iTunes naar de browser' Nieuws van 10 december 2009
Eerste kwaadaardige worm voor iPhone duikt op - update Nieuws van 21 november 2009
Hackers maken tooltje om gegevens van gejailbreakte iPhones te stelen - update Nieuws van 13 november 2009
FBI rolt internationale bende bank-hackers op Nieuws van 11 november 2009
'Rickrolling'-worm belaagt iPhone-gebruikers Nieuws van 9 november 2009
T-Mobile gaat ssh-hack iPhones onmogelijk maken Nieuws van 4 november 2009
Nederlandse tiener kaapt iPhones via ssh Nieuws van 2 november 2009
Meer producten en artikelen
Smartphones Mobiele besturingssystemen Apple T-Mobile iPhone iOS Beveiliging Nederland

Reacties (211)

-Moderatie-faq
211
201
118
4
1
1
Wijzig sortering
cyclopsq
4 november 2009 23:33
Kom wat laat in de discussie maar voor hen die het nog niet weten het volgende:
In 9 stappen naar een nieuwe root wachtwoord.

1. Log aan op je Iphone met "MobileTerminal". Heb je die niet, download dit dat uit Cydia of doe het direct over ssh (putty oid, ga naar stap 8);
2. Voor de terminal login heb je geen wachtwoord nodig;
3. Typ nu su - root;
4. Er wordt een wachtwoord gevraagd, neem het default wachtwoord, "alpine";
5. Je bent nu root;
6. Verander je wachtwoord door "passwd" in te typen;
7. Kies nu een vrij sterk wachtwoord met een combi van cijfers, letters en leestekens;
8. Voer 2 keer je nieuwe wachtwoord;
9. Klaar ben je.

Hoop dat iemand er iets aan heeft.

PS. Beter is het overigen om met SBSettings je SSH helemaal uit te zetten!
teh_twisted
@cyclopsq9 november 2009 12:14
PS. Beter is het overigen om met SBSettings je SSH helemaal uit te zetten!
beter is 't als je 't pas disabled na 't veranderen van je wachtwoord!!!!!!
teh_twisted
3 november 2009 22:41
ja want het is ook echt "hacken" om alle t-mobile nummers aftegaan met als rootwachtwoord "alpine"

dat de user zelf niet z'n wachtwoord veranderd van root is niet aan t-mobile. NAT en sluiten van port 22 is idioot en ranzig.
Keypunchie
@teh_twisted3 november 2009 22:49
Hoezo idioot en ranzig?

Hoeveel mensen SSH'en naar hun telefoon over 3G? Is nauwelijks de moeite waard om te ondersteunen aangezien je het het gewoon over WLAN kunt blijven doen en daarmee de grote clueless massa tot op zekere hoogte veilig houdt.

En waarom zou NATten erg zijn? In principe runt praktisch ieder huishouden met een ADSL-verbinding een NAT. Ze weten het alleen zelf niet. Houdt ze nauwelijks tegen om lekker hun ding te doen met internet.

[Reactie gewijzigd door Keypunchie op 3 november 2009 22:50]

soulrider
@Keypunchie4 november 2009 04:00
Je hebt 65536 poorten waarvan je in weze enkel die boven de 2048 vrij mag gebruiken (dus voor NAT). onder de 1024 is sowieso enkel voor gereserveerde poorten en de range tss 1024 en 2048 blijf je best ook vanaf.

dit geeft ong. 63,5k poorten en met 2 protocols (udp, tcp) geeft je dat een 130k poorten per NAT-server. wetend dat je al snel meerdere poorten tegelijk gebruikt per klant (het tegelijk binnenhalen van verschillende afbeeldingen van een webpagina bijvoorbeeld) geeft je bij stel max. 10poorten gelijktijdig per user 13k gebruikers per NAT-server/-router. Als ze allemaal tegelijk dezelfde pagina opvragen - bv deze tweakers pagina - zit het systeem al op zijn maximum bij 6k gebruikers. (http = enkel tcp)

Rekening houdend met al het gerommel dat je dan hebt bij sommige programma's die een dubele NAT (bij tethering) niet leuk vinden en dat het moeilijker wordt om dit te schalen naar enkele 100k gebruikers incl. redundantie, loadblancing is het voor een provider veel makkelijker om je een openbar ip te geven en zich niets van de beveiliging enzo aan te trekken. Dit is in mijn ogen ook niet aan de provider.
Hij moet ervoor zorgen dat je een internet-connectie hebt (3G, adsl of kabel, of nog andere manier) en voor de rest moet die zich er niet mee moeien wat er gebeurd tenzij je andere wetten gaat overtreden.

trouwens waarom zou die isp dan nog een ipsubnet van rip kopen? als je met het 10.* private netwerk samen met de 192.168.* netjes toe kunt komen???
(al de gsm-masten een 10.* en iedere mast geeft 192.168.* ip's uit aan de eigen gsm's - bij roaming heb je dan een hoop dhcp gerommel met slechte connectie's - paar seconden tijd nodig voordat nieuw ip is verkregen alles terug correct geNAT is via die andere gsm mast - enzo erbij)

dan was het IPv4-adresruimte probleem nooit ter sprake gekomen eh....
Als je 'oneiding' kon blijven NATten

Bij thuis gebruik is die NAT-grens nauwelijks een probleem want er zijn zeer weinig huishoudens die aan de grens komen (of iedereen moet gan torrenten met veel te veel poorten - en dan gat iedere huis,tuin en keuken router/modem onderuit). En grote bedrijven die daar wel in de buurt komen hebben redundante lijnen, blokkeren een hoop poorten, hebben internet-policy's, hebben meestal ook de redundante en dure hardware die het aankan voor al die gebruikers,...

Bij pc's gebeurd het al dat providers bv poort 25 gaan blokkeren zodat spambotjes het ietjse moeilijker hebben om zelf smtp-server te gaan spelen. (omdat anders de provider zelf in problemen kwam met zijn legale mails wegens gemeld als spammer zodat ie een hoop reclamerende gebruikers hadden die het niet leuk vonden dat hun gewone mails nu niet meer aankwamen bij hun vriendjes, partners, collega's)

Vrij logisch dat het speelveld zich gaat herleggen naar andere populaire systemen/platformen.

Het is niet altijd handig om het meest populaire systeem/platform te zijn.
(meer virussen bekend voor het pc-platform dan voor het mac-platform of het linux-platform - alhoewel die laatste 2 er ook zijn, maar er is minder kans dat je een snelle verspreiding krijgt of een hack die grote impact heeft. Te weinig mac's bij domme thuisgebruikers en te weinig identiek geconfigureerde linux-bakken.
iPhone is ook populair bij vaak domme gebruikers en voila: nieuw doelwit.

'ik moet (laten) jailbreaken want dan kan ik gratis programma's op iPhone zetten of zelfs niet goedgekeurde programma's", "oh, programma heeft SSH nodig, ik weet niet wat dat is maar als het nodig is voor dat leuk dingetje dan zwier ik het er wel bij op" download, aanvaard alles qua default zodat het goed snel op die iPhone komt en voila weer eentje die nadien zeer verrast is dat er iemand haar/zijn iPhone hackt enzo.

(net als al die dommerikken die roepen: 'als ze NATten zou dit probleem er nooit geweest zijn')

Weet jij hoeveel prive-gegevens al de programma's doorsturen 'voor user-onderzoek'?
games die lijst van geinstalleerde programma's doorsturen net als je serialnumber, en gebruiksstats van hoe aak en hoe lng je speelt en wanneer,....


"security is a state of mind. Unfortunally most users are missing their mind"

[Reactie gewijzigd door soulrider op 4 november 2009 04:13]

Anoniem: 321068
3 november 2009 16:17
Dat is wel rot, even me SSH uitzetten :9 Nee maar denk het niet dat het ik thuis gehakt kan worden want dan moet hij toch eerst in je netwerk? Ik heb een iTouch btw :P
mddd
@Anoniem: 3210683 november 2009 16:19
Alsof het zo moeilijk is om een Wifi netwerk binnen te komen. In veel gevallen zijn die slecht beveiligd. Dus ja, een iPod touch met een jailbreak kan dan ook ten prooi vallen aan zo'n aanval.
banditbiker
@mddd3 november 2009 16:22
Nou, niet helemaal.. de hacker had toegang verschaft door de IP range van t-mobile af te struinen naar een reagerende SSH.
Thuis gehackt worden is een stuk moeilijker.

Het IS mogelijk, maar een heel stuk onwaarschijnlijker aangezien hij inderdaad eerst door een router heen moet. (maar die zal ook wel weer van buitenaf openstaan met een default password ;) )
Jay-v
@mddd3 november 2009 16:28
Fishticks heeft echter wel degelijk een punt. De iPhone's zijn een makkelijk doelwit omdat ze via het (publieke) t-mobile netwerk makkelijk bereikbaar zijn. (Te vinden met bv een poortscan).

Dit is met je iTouch niet het geval omdat deze in je eigen netwerk zit. Dankzij het standaard gebruik van NAT is deze dus niet rechtstreeks bereikbaar vanuit het internet. (er van uitgaande dat je niet port 22 hebt gemapt naar je iTouch :P)
Anoniem: 62763
@mddd3 november 2009 16:42
de stand tot nu:
WEP - gekraakt
WPA1 - gekraakt
WPA2 - nog veilig.
Kixtart
@Anoniem: 627633 november 2009 17:13
WPA2 PSK is ook gewoon te kraken als de key kort is of een woord is:
https://airheads.arubanet...d-wpa2-dictionary-attacks (en nog meer over te googlen)
watercoolertje
@Kixtart3 november 2009 17:32
Dat is geen kraken maar bute forcen :) daar heeft de ecryptie 0,0 invloed op...
DLGandalf
@watercoolertje3 november 2009 23:03
als je met consumenten elektronica zoals een videokaart razendsnel icm CUDA of opencl keys laat maken en je kan een beveilgd wep/wpa netwerk binnenkomen in normale tijd, dan kan je redelijkerwijs toch wel zeggen dat het gekraakt is :P

voor geinteresseerden, backtrack, een hackers linux distributie kan dit dus al nagenoeg out of the box. En zit dus in de orde van miljoenen keys per seconden, om te kunnen bruteforcen

[Reactie gewijzigd door DLGandalf op 3 november 2009 23:05]

gnimmeL_kraD
@Anoniem: 627633 november 2009 16:49
En hoe zit het dan met WPA1 op basis van EAP? Volgensmij was alleen maar WPA1+TKIP "gekraakt". Het is in ieder geval niet zo open als WEP is en je hebt nog steeds geen directe toegang tot het netwerk.
ZpAz
@Anoniem: 3210683 november 2009 16:21
Wanneer je verbinding hebt met je telco (3G, gprs) dan kan je er ook al in.
OverSoft
@Anoniem: 3210684 november 2009 01:23
Bedoel je een iPod Touch? Want een iTouch is niets...
FreqAmsterdam
@Anoniem: 3210683 november 2009 16:19
Jij snapt het niet helemaal. 8)7
wankel
@FreqAmsterdam3 november 2009 16:27
Of hij snapt het wel, een beetje; als je sshserver van buiten uit bereikbaar is en er zit een standaard gebruiker/wachtwoord combinatie als beveiliging op, dan is dit nieuws min of meer van toepassing. Aankopen doen op iTunes is weer een ander verhaal.
Netrunner
3 november 2009 16:20
Ongeloofelijk, goed dat McFliatn dit gebruikt heeft voor educatieve doeleinden en niet voor zich heeft gehouden. Vroeg of laat zou apple support suit vol gepomped worden door alle support tickets en telefoontjes wat ze binnen krijgen over aankopen die zij helemaal niet gedaan hebben. Ik hoop ook dat t-mobile de ict afdeling wakker gaat maken, want dit kan echt niet.
SirNobax
@Netrunner3 november 2009 16:25
T-mobile leverd juist als dienst dat je beschikking heb tot jouw volledige portrange met een eigen IP address. Vooral i.c.m. mobiel breedband op je computer vind ik dit prachtig. Voor mij een van pluspunten waar T-mobile zich onderscheidt van Vodafone en KPN.

En nu is het weer niet goed, omdat tientallen prutsers hun root wachtwoord van OpenSSH, van hun gejailbreakte iFoon, niet veranderen, en moet T-mobile het maar oplossen?

Right :/ .

[Reactie gewijzigd door SirNobax op 3 november 2009 16:41]

Netrunner
@SirNobax3 november 2009 16:29
Ja hier mee ben ik het helemaal met je eens.

Maar goed dat terzijde, is het niet mogelijk dat TMobile een advies vrijgeeft aan alle mensen die hun iPhone bij hun koopt, direct hun default wachtwoord verandert naar een eigen gecreerde of vertrouwde wachtwoord.
SirNobax
@Netrunner3 november 2009 16:38
Een normale iFoon heeft geen OpenSSH.
Enkel mensen die hun iFoon jailbreaken en OpenSSH installeren, wat nodig is voor de wat zwaardere 'hacks', lopen risico. En in mijn ogen vallen die ook niet onder de verantwoordelijkheid van T-Mobile, of Appel for that matter.

[Reactie gewijzigd door SirNobax op 3 november 2009 16:40]

Anoniem: 62763
@SirNobax3 november 2009 16:52
Oplossing is simpel (hetzelfde als sommige ISPs doen) controlleer je range op exploits en sluit internet-connectiviteit af.
u_nix_we_all
@Anoniem: 627633 november 2009 17:00
Simpel ? Hoe onderscheiden ze in dit geval de "hackers" van mensen die wél legitiem naar hun iPhone ssh-en ?
SirNobax
@u_nix_we_all3 november 2009 17:19
Niet, want SSH is encypted. (Public/Private key verhaal)

Zie ook: http://en.wikipedia.org/wiki/OpenSSH

Of ik nu remote mijn, met HSDPA gekoppelde, Linuxbak thuis aan het besturen ben via SSH -X, of iemand download al je persoonlijke gegevens van je iFoon, voor T-mobile zal het precies dezelfde onuitleesbare gibberish zijn. Gelukkig maar! :)

[Reactie gewijzigd door SirNobax op 3 november 2009 17:22]

u_nix_we_all
@Netrunner3 november 2009 16:37
Nee, ik vind dit geen taak voor T-mobile, en vind het een slechte zaak als T-mobile poorten gaat dichtzetten. Je zal maar net een van de weinigen zijn die ssh voor iets nuttigs gebruikt ......

Let's face it, iedereen die hier last van heeft heeft willens en wetens z'n iPhone gejailbreakt, en weten dat de consequentie is dat je niet voor support hoeft aan te kloppen. Dus zowel de Apple- als de T-Mobile-helpdesk kunnen die mensen gewoon vertellen dat ze hun orginele firmware terug moeten zetten. Kunnen ze dat niet, of willen ze dat niet, dan houdt het gewoon op qua support.

McFliatn gebruikt gewoon een bekende vunerability om bij de iTunes gegevens te komen, terwijl iedereen sinds gisteren al snapt dat dat bij veel iPhones een eitje is. Niets knaps aan, alleen maar lame, meeliften op de publiciteit die hierdoor loskomt.
mjl
@Netrunner4 november 2009 10:15
Ik ben bang dat dit vooral Apple dit door gaat hebben en de firmware dus nog verder zal dichtspijkeren om jailbreaken wil voorkomen (in hun ogen is dit de schuld van het jailbreak gebeuren). Terwijl ik het een prima manier vind om alternatieve software te kunnen draaien naast wat je via de Appstore wordt toegeschoven.
Anoniem: 56924
3 november 2009 16:30
dit is wat je krijgt als mensen die geen kaas hebben gegeten van IT-gerelateerde zaken (oftewel de gemiddelde Apple gebruiker) gaan prutsen met zaken als SSH etc. iemand die wel weet waar hij mee bezig is zal als eerste het SSH password aanpassen en heeft dus nergens last van.

[Reactie gewijzigd door Anoniem: 56924 op 3 november 2009 16:31]

mddd
@Anoniem: 569243 november 2009 16:43
oftewel de gemiddelde Apple gebruiker
of de gemiddelde telefoon-gebruiker, of de gemiddelde pc-gebruiker, of de gemiddelde consument... voor elk van deze doelgroepen is de shell en ssh een ver-van-mijn-bed show.
Anoniem: 19339
@Anoniem: 569243 november 2009 16:44
dit is wat je krijgt als mensen die geen kaas hebben gegeten van IT-gerelateerde zaken (oftewel de gemiddelde Apple gebruiker) gaan prutsen met zaken als SSH etc
Snap niet hoe Apple aan die naam komt. De meeste Apple-gebruikers die ik ken, hebben juist bovengemiddelde IT-kennis, en hebben een Apple omdat het makkelijker werkt met dagelijks netwerk- en server-beheer (voor zover de servers geen Windows zijn, uiteraard), niet vanwege het shiny uiterlijk.

In het algemeen kun je wel stellen dat mensen die weinig verstand van IT hebben, voor een hoop onveiligheid op internet zorgen (botnets etcetera). Om dat nou aan een computermerk te koppelen, vind ik kort door de bocht.

[Reactie gewijzigd door Anoniem: 19339 op 3 november 2009 16:45]

Orion84
3 november 2009 16:21
* Orion84 hoopt dat "achterhalen" in dit geval bestaat uit het onderscheppen op het moment dat de gebruiker het wachtwoord invoert en niet dat dat wachtwoord ergens plaintext is opgeslagen?

Op zich is dit verder natuurlijk niet zo'n opzienbarend nieuws. Als je via SSH toegang hebt, dan is het niet heel gek dat die wachtwoorden te onderscheppen zijn. Maar het maakt de hack ineens wel geschikt om commercieel uit te buiten, wat de kans op "kwaadaardige aanvallen" nogal doet toenemen. In tegenstelling tot deze zogenaamde onschuldige hacks die enkel bedoeld zouden zijn om publiciteit te genereren rond dit probleem.
thaan
@Orion843 november 2009 16:22
Je kunt je iPhone wel zo instellen dat hij het wachtwoord onthoudt, maar standaard zal hij dat niet doen.
Anoniem: 19339
@thaan3 november 2009 16:36
Oh ja? Waar dan? Ik ben die optie nergens tegengekomen.

(Eventueel wil ik dat ook niet: als iemand hem pikt, wil ik niet dat hij even alle TomTom-varianten a 80-100 euro per stuk op mijn kosten downloadt omdat mijn password gecached is.)
wankel
@Orion843 november 2009 16:23
Commercieel uitbuiten? Wie wil er nou op illegale wijze mp3'tjes downloaden van iTunes? Heeft dat toegevoegde waarde tov een willekeurige torrent?
Liegebeest
@wankel3 november 2009 16:31
Ik heb het al tig keer gezegd, maar zal het nog eens herhalen: ontvang jij toevallig je TAN codes op je iPhone? :w

Het is kinderspel om een keylogger te schrijven voor je iPhone waarmee je passwords en usernames worden binnen gehaald. Presto, je bent de sjaak.

Dit is eventjes iets groter dan een iPhone gijzelen voor 5 euro, of in iTunes liedjes kopen. Denk even een iets groter plaatje...
wankel
@Liegebeest3 november 2009 16:45
Ik heb het al tig keer gezegd, maar zal het nog eens herhalen: ontvang jij toevallig je TAN codes op je iPhone? :w
Gisteren zag ik je commentaar inderdaad ook, en daar ben ik het helemaal mee eens; maar dat betekend niet dat door dit nieuws (nl iTunes) deze hack "ineens commercieel uit te buiten" valt, zoals Orion84 zegt.
Liegebeest
@wankel3 november 2009 16:50
Wat noem jij het leeghalen van bankrekeningen?

Of het binnenhalen van usernames + passwords van eCommerce websites?

Of usernames + passwords van bedrijfs Exchange omgevingen?

Of usernames + passwords van VPN verbindingen?

Daar kan je een heel mooi, commercieel handeltje in hebben hoor.
u_nix_we_all
@Liegebeest3 november 2009 17:03
Misschien bedoelt wankel dat dat gisteren ook al evident was, en dat deze hack niet echt iets toevoegt. Dat is namelijk mijn mening, deze hack laat (alleen maar) zien wat iedereen sinds gisteren al wist.
wankel
@u_nix_we_all4 november 2009 14:51
Inderdaad, bedankt voor de aanvulling ;-)
smesjz
3 november 2009 17:59
Ik zou het juist een slecht idee vinden als poort 22 wordt dichtgezet door T-Mobile omdat je hiermee een verkeerd signaal afgeeft als provider. Volgens Apple is jailbreaken illegaal en zo gaat T-Mobile hier doodleuk mee helpen als er problemen ontstaan door onkunde van gebruikers met deze software.

Degene die openssh-server uitlevert (voor iPhone) zou idealiter root logins niet moeten toe staan. Je kan nu, in Mac OS X maar waarschijnlijk ook in iPhone OS, sudo gebruiken voor acties die waar je root rechten voor nodig hebt.

Om die reden zou je dus het liefst willen dat een gejailbreakte iPhone verplicht een nieuwe user aanmaakt (voor zover dat nog niet gebeurt) met een zelf te kiezen wachtwoord.
In Mac OS X is de root user by default gedisabled.

Mijn mening is dat je dit soort problemen juist bij het jailbreak image wil fixen. Nu kom je binnen als root via openssh maar er zijn genoeg andere manieren te verzinnen waarbij het ook mis kan gaan.

Als normale sterveling hoef je nooit als root in te loggen imho, ook al is je telefoon maar.

Bovendien is dit probleem al veel langer bekend: http://uneasysilence.com/archive/2007/08/11998/
Dit is een artikel van meer dan 2 jaar geleden.
VisionMaster
@smesjz3 november 2009 18:45
De andere accounts in je iPhone staan disabled qua password. Ze bestaan wel, maar goed... dat is niet zo belangrijk.

De bootstrapping is dus om een wachtwoord in de ssh-server te zetten, waarvan bekent is dat je die moet wijzigen in iets totaal anders.

Verder... wil ik wel even ZEER duidelijk benadrukken dat je goed moet oppassen met sudo gebruiken en claimen dat je dan veiliger bent. Want dan moet je goed weten waarom dat zo is.

Het is om te ontkrachten dat je uberhaupt met een root-shell standaard bezig bent. Maar nu is jou eigen wachtwoord gekoppeld aan twee accounts, die van jezelf EN die van het root-account. Want je authenticeert aan sudo dat jij bent ingelogd met je eigen account en rechten hebt om root te worden. Dus extra beveiliging... niet echt. Een kans minder om je systeem om zeep te helpen (ook je iPhone), dat is het wel. :)
smesjz
@VisionMaster3 november 2009 19:10
Natuurlijk moet je opletten met sudo en werken als root. Maar omdat je standaard als een non-priviliged user werkt kan je in theorie minder schade aanrichten. Dus natuurlijk ben je veiliger (dan direct als root in te loggen). Alleen sudo is niet genoeg, een goed gekozen wachtwoord blijft natuurlijk ook nodig.
Bovendien heb je als hacker nu zowel een username als wachtwoord nodig en niet slechts een wachtwoord voor de bestaande gebruiker root.

Bovendien gebruik je sudo alleen voor de root acties, met "sudo bash" open je natuurlijk nog steeds een root shell als je wil. Dat heb je standaard overal waar sudo/sudoers gebruikt wordt tenzij je dat dicht timmert

Maar dat is natuurlijk het hele punt niet. Het gaat er gewoon om dat het root account gewoon disabled hoort te zijn op je iPhone. Het simpelweg veranderen van het default wachtwoord is imho niet genoeg. Remote inloggen als root op een iPhone hoort niet te kunnen.
Mathijs
@VisionMaster3 november 2009 20:50
De andere accounts in je iPhone staan disabled qua password. Ze bestaan wel, maar goed... dat is niet zo belangrijk.
Ehhh, nee de user mobile is gewoon actief en heeft een homedir en shell ook:
nobody:*:-2:-2:Unprivileged User:/var/empty:/usr/bin/false
root:*:0:0:System Administrator:/var/root:/bin/sh
mobile:*:501:501:Mobile User:/var/mobile:/bin/sh
daemon:*:1:1:System Services:/var/root:/usr/bin/false
_securityd:*:64:64:securityd:/var/empty:/usr/bin/false
_mdnsresponder:*:65:65:mDNSResponder:/var/empty:/usr/bin/false
_sshd:*:75:75:sshd Privilege separation:/var/empty:/usr/bin/false
_unknown:*:99:99:Unknown User:/var/empty:/usr/bin/false

[Reactie gewijzigd door Mathijs op 3 november 2009 20:51]

sjaakmat
3 november 2009 23:06
Mensen snappen niet dat het zijn bedoeling is om al het binnenkomende verkeer op poort 22 te blokkeren, het uitgaande verkeer zal dus niet geblokkeert worden en dus kan je nogsteeds netjes naar je servertje thuis ssh'en.

En natuurlijk is het niet de schuld van T-Mobile, maar als T-Mobile die maatregelen neemt beschermt zij niet alleen de kwetsbare gebruikers maar ook hun eigen netwerk.

Neem aan dat je het ook niet fijn zou vinden als mensen via jouw verbinding prive account gegevens zouden lopen wegtrekken.

[Reactie gewijzigd door sjaakmat op 4 november 2009 00:02]

kodak
@sjaakmat4 november 2009 03:06
En waarom snappen mensen die bedoeling volgens jou niet? Omdat er kennelijk flink wat mensen zijn die het niet eens met hem zijn? Of het uitgaande verkeer niet geblokkeerd wordt doet er niet toe, het gaat er om dat het om een blokkade gaat waar mensen tegen zijn.

Je kan wel heel leuk schermen met een argument dat als T-Mobile inkomend verkeer blokkeert ze kwetsbare gebruikers en hun eigen netwerk zouden beschermen. Maar dat blokkeert tevens het recht van gebruikers om vrij verkeer te kunnen ontvangen. Zelfs als T-Mobile het mogelijk zou maken dat gebruikers na een speciaal verzoek wel dat recht terug krijgen.

Wie het niet fijn vind dat zijn of haar prive gegevens gestolen worden, een systeem wordt overgenomen of andere onplezierige zaken met een systeem of gegevens wenst mee te maken moet zelf verantwoordelijkheid nemen. Verantwoordelijkheid om te beseffen dat als je je systeem gaat aanpassen dat consequenties heeft. Niet alleen maar positieve kanten maar ook kanten die niet plezierig zijn als je er niets tegen doet.

Als je je buitendeur van je huig gaat aanpassen zorg je er ook voor dat je weet dat het veilig is en dat je je deur niet alleen van een klink voorziet. Het is niet verplicht er een deugdelijk slot op te zetten en die te gebruiken, maar je beschermt je prive spullen behoorlijk als je niet wilt dat anderen er aan zitten en anders laat je het na. Of ben je van mening dat de gemeente maar preventief iedere deur moet beschermen tegen indringers voor het geval dat mensen de deur niet goed vergrendelen? Dat zou ieder huis en de gemeente vast wat veiliger kunnen maken, maar het gaat in tegen het principe dat mensen zelf moeten weten wat ze doen, recht op vrije keuze hebben en dus ook moeten weten waar hun eigen verantwoordelijkheid begint en stopt. Zelfs als jij het niet fijn vind dat anderen aan je spullen zouden zitten is het niet jou taak om anderen maar ongevraagd in hun vrijheid te beperken omdat je bang bent dat ze niet hetzelfde doen als jij veilig en goed acht.
Keypunchie
@kodak4 november 2009 10:05
En waarom snappen mensen die bedoeling volgens jou niet? Omdat er kennelijk flink wat mensen zijn die het niet eens met hem zijn? Of het uitgaande verkeer niet geblokkeerd wordt doet er niet toe, het gaat er om dat het om een blokkade gaat waar mensen tegen zijn.
Vind dat je goede punten maakt hoor (ben het niet met alles eens), maar als je de comments leest zijn er zo hier en daar mensen die dingen roepen als "maar dan ik niet meer SSH'en vanaf mijn telefoon". Dus vandaar die opmerking, denk ik ;-)

Wat ik me wel afvraag: Wat vind je eigenlijk van Microsoft die heel lang onder vuur lag vanwege security en uiteindelijk tegenwoordig al hun consumenten-OS uitrust met een firewall die heel erg gaat zeuren als 'ie uitstaat.

[Reactie gewijzigd door Keypunchie op 4 november 2009 10:06]

wankel
3 november 2009 16:19
Er is toch helemaal geen sprake van een hack? Ik bedoel, als ik inlog op Tweakers met mijn gebruikersnaam en wachtwoord, hack ik Tweakers dan?

Ik hoop ten zeerste dat er geen trend ontstaat waarbij providers poorten gaan sluiten; ik vind het juist wel prettig om mijn mobiel remote te kunnen benaderen. Daarom staat er ook een SSH-server op. Nee, niet met het een standaard- of leeg (root)password.

[Reactie gewijzigd door wankel op 3 november 2009 16:22]

thaan
@wankel3 november 2009 16:21
Inderdaad, er is dus helemaal geen sprake van een hack, en nogal raar dat men het wel zo noemt.
Auteurarnoudwokke
@thaan3 november 2009 16:29
Er is inderdaad discussie over. In dit geval is het iets ingewikkelder dan het inloggen op Tweakers.net (of is dat zo ingewikkeld :P ?)

Je moet ip-ranges scannen en vervolgens jezelf via ssh toegang verschaffen tot, in dit geval, de iPhone van een ander. Ik zie dat als een techvariant van het huis van iemand anders binnengaan en een briefje op tafel leggen dat de bewoner eens een slot op zijn deur moet zetten. Je doet niets verkeerd, en je initiatief is in dat geval met de beste bedoelingen gedaan, maar het is een vorm van huisvredebreuk.

Dat het voor de gemiddelde tweaker niet al te veel moeite kost om het huis binnen te komen, speelt imho nauwelijks een rol. Daarom noemen wij deze mensen hackers: je verschaft jezelf toegang tot de foon van een ander op wederrechtelijke wijze.

[Reactie gewijzigd door arnoudwokke op 3 november 2009 16:30]

Anoniem: 62763
@arnoudwokke3 november 2009 16:48
Een computervredebreuk-pleger is niet per definitie een hacker. Dus het gebruik van de term is foutief. Een hacker is iemand die een beveiliging moet omzeilen om tot z'n doel te komen, dat is hier niet gebeurd. (en daar heb je dan weer het onderscheid scriptkiddie en hacker, maar dat slaat meer op de manier waarop het spul omzeild wordt).

[Reactie gewijzigd door Anoniem: 62763 op 3 november 2009 16:49]

tomhagen
@Anoniem: 627633 november 2009 16:59
Een hacker is iemand die een beveiliging moet omzeilen om tot z'n doel te komen, dat is hier niet gebeurd.
Waarom niet? Er is een beveiliging en zonder dat het zijn telefoon is, krijgt hij toch toegang. Goed, 't is niet de meest geniale hack, maar een hack nevertheless.

Of moet je per se een buffertje laten overlopen omdat je toevallig de source van een programma gelezen hebt? In mijn ogen is dat 't zelfde, alleen kost wat meer lees/denk tijd.
vgroenewold
@tomhagen3 november 2009 17:13
Maar hij omzeilt niets, hij logt gewoon in, niets geen DoS attack oid, gewoon legaal inloggen. Dat het niet zijn telefoon is is het enige verschil en dus meer te vergelijken met insluipen oid, een inbreker met de sleutel van het huis. Een hacker vind ik toch meer iemand die via het raam gaat met een trucje.
mddd
@vgroenewold3 november 2009 23:26
hij omzeilt niets [...] gewoon legaal inloggen
Dat is volgens mij niet correct. Het gaat er, zoals tomhagen al zegt, om dat je een beveiliging omzeilt. Hoe goed of slecht die beveiliging is, doet er niet toe (voor de wet dan). Élke beveiliging is immers te kraken. In principe bestaat er daarom geen verschil tussen brute-forcen of toevallig het wachtwoord weten: in beide gevallen verschaf je jezelf toegang tot een systeem waarvan je weet dat je er niet toe bevoegd bent.
wankel
@mddd4 november 2009 14:40
[...]in beide gevallen verschaf je jezelf toegang tot een systeem waarvan je weet dat je er niet toe bevoegd bent.
Misschien wilde hij wel in z'n eigen systeem inloggen, maar wist hij het IP en 't password niet meer, en daarom een scan gedaan en met het standaard wachtwoord geprobeerd in te loggen? :-)
wankel
@arnoudwokke3 november 2009 16:41
Daarom noemen wij deze mensen hackers: je verschaft jezelf toegang tot de foon van een ander op wederrechtelijke wijze.
Lijkt me niet toch? Hij/zij heeft immers niet voor niets een shellaccount voor de remote gebruiker aangemaakt....
ArawnofAnnwn
@wankel3 november 2009 16:56
ik gebruik dagelijks SSH vanaf mijn iPhone. als ze dat niet meer toe zouden laten zou ik direct mijn contact verbreken, omdat ze de instellingen zo hebben aangepast dat ik de helft van wat ik met mijn telefoon doe, niet meer kan. (ik zit meer in SSH dan dat ik bel/mail/sms etc op mijn iPhone). ook SSH ik vaak naar mijn iPhone (uiteraard niet met het standaard wachtwoord).
arjankoole
@ArawnofAnnwn3 november 2009 23:50
ik gebruik dagelijks SSH vanaf mijn iPhone. als ze dat niet meer toe zouden laten zou ik direct mijn contact verbreken, omdat ze de instellingen zo hebben aangepast dat ik de helft van wat ik met mijn telefoon doe, niet meer kan. (ik zit meer in SSH dan dat ik bel/mail/sms etc op mijn iPhone). ook SSH ik vaak naar mijn iPhone (uiteraard niet met het standaard wachtwoord).
Ik denk niet dat je je contract kan verbreken om iets wat je officieel nooit hebt gekunt :) Met de iPhone is SSH immers niet mogelijk. (ik zie er het nu ook niet zo van in eerlijk gezegt, en ik ben een echte shell-freak)

voor de rest sluit ik me bij caillin_coilleach aan, inbound SSH staat dicht, jij kan heerlijk ssh'en naar alles wat je maar wilt.
Anoniem: 79837
@arjankoole4 november 2009 14:32
@ cailin_coilleach & Arjankoole:
ook SSH ik vaak naar mijn iPhone (uiteraard niet met het standaard wachtwoord).
blijkbaar stuurt hij aanvragen naar zijn telefoon in plaats van er vanaf. als ze dan inbound dichtzetten dan is hij dus functionaliteit van zijn telefoon kwijt.
wankel
@arjankoole4 november 2009 14:48
Daarnaast, er kan natuurlijk 'n hoop met zo'n telefoon, maar er zullen geen hordes gebruikers op de iP van Arawn inloggen. Voor eigen gebruik is de luisterpoort nog 'ns op 8022 of noem-maar-wat te zetten, of automatisch laten inloggen op je server en vervolgens vanaf een andere locatie via je server weer op je telefoon inloggen.
Liegebeest
@ArawnofAnnwn3 november 2009 17:46
Ook jij kan duidelijk weer niet lezen. Als we het hebben over blokkeren, dan gaat het om het blokkeren van BINNENkomend SSH, niet uitgaand. Is ook pas een paar keer gezegd :)
wankel
@Liegebeest4 november 2009 14:44
Volgens mij typte je zelf te snel: ik zie geen "edit" bij Arawn's naam, terwijl hij duidelijk verteld dat z'n iPhone de remote host is.
tomhagen
@wankel3 november 2009 16:26
Er is toch helemaal geen sprake van een hack? Ik bedoel, als ik inlog op Tweakers met mijn gebruikersnaam en wachtwoord, hack ik Tweakers dan?
Nee, natuurlijk niet. Maar als ik er achter kom dat ik met een default password bij Tweakers kan inloggen en jouw gegevens kan zien, wordt 't een ander verhaal, niet?
wankel
@tomhagen3 november 2009 16:29
Word er van mij niet verwacht dat ik een ander wachtwoord dan "spaties" of vijf sterretjes kies? Of in ieder geval iets dat afwijkt van mijn gebruikersnaam of geboortedatum?
tomhagen
@wankel3 november 2009 17:09
Er wordt ook van systeembeheerders verwacht dat ze security patches downloaden...
wankel
@tomhagen4 november 2009 14:42
Daar heb je gelijk in, en wordt het gebied tussen "wit" en "zwart" toch opeens weer grijs.. ;-)
dsmink
@wankel3 november 2009 16:25
Niet echt nee, maar het is wel een beveiligings issue :)

Ik weet niet hoe de zogenaamde hacker IP adressen weet te verzamelen, maar wellicht met een speciaal ontworpen site waar hij zogenaamd software aanbied of zo.

Wat je natuurlijk wel ziet is dat heel veel mensen die een iPhone hebben (Jan met de Pet zegmaar) thuis gewoon Windows gebruiker is. Geen idee heeft van GNU/Linux, ???BSD of Mac OSx.

Het hele verhaal (Open)ssh zegt die persoon geen ene drol. En ondanks dat ik het zelf nog nooit heb gedaan zal het jailbreaken van een iPhone met de nodige appicaties ook niet heel erg moeilijk zijn.

En als jij niet weet wat SSH doet, je er niet van weet of what ever (staat dat na breaken erop? of moet je t zelf doen?) EN je poortje 22 blijft open staan met default user/ww sja. Dan ben je natuurlijk wel een potentieel slachtoffer.
Liegebeest
@dsmink3 november 2009 16:29
> Ik weet niet hoe de zogenaamde hacker IP adressen weet te
> verzamelen

"port scan"

Google it.
tomhagen
@Liegebeest3 november 2009 17:03
"port scan"

Google it.
"portsweep"

Bing it.
Anoniem: 62763
@dsmink3 november 2009 16:50
Hier, laat ik maar eens wat diep gewortelde donkere geheimen van de blackhat community blootleggen. (sarcasme).

nmap -p 22 <t-mobile subnet>

done.
.oisyn
@Anoniem: 627633 november 2009 17:14
En dat t-mobile subnet kun je dus weer heel gemakkelijk opvragen via ripe.net, waar alle ip-ranges geregistreerd staan.

[Reactie gewijzigd door .oisyn op 3 november 2009 17:15]

Anoniem: 126717
3 november 2009 16:42
Wel grappig dat SSH wordt gebruikt om 'in te breken':
Wikipedia:
History

In 1995, Tatu Ylönen, a researcher at Helsinki University of Technology, Finland, designed the first version of the protocol (now called SSH-1) prompted by a password-sniffing attack at his university network. The goal of SSH was to replace the earlier rlogin, TELNET and rsh protocols, which did not provide strong authentication or guarantee confidentiality.
En nu laat men het password gewoon default.... 8)7
arjankoole
@Anoniem: 1267173 november 2009 23:57
Goeie genade, lees eens joh.

op een standaard iPhone, in tegenstelling tot een Mac, staat geen SSH geinstalleerd. Via de apps kun je geen root krijgen, want die draaien in een sandbox.

Dus alleen, en uitsluitend als je je iPhone jailbreaked EN OpenSSH server installeerd via cydia OF een obscure app ( gemaakt door een minder fris persoon) kan iemand binnendringen op je iPhone. in de instructies van de SSH install staat expliceit vermeld dat dit risico er is, en meld ook hoe je het default wachtwoord moet veranderen.
1 2 3 4 5

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee