De afgelopen dagen is de eerste kwaadaardige worm voor gejailbreakte iPhones opgedoken. De worm dringt de iPhone binnen door met het standaardwachtwoord op ssh in te loggen. De worm zou bouwen aan een botnet van iPhones.
De worm verspreidt zichzelf door ip-ranges te scannen en zo andere kwetsbare iPhones te vinden, meldt Security.nl. De worm richt zich niet alleen op Nederlandse gebruikers, maar heeft ook al slachtoffers gemaakt in Portugal, Hongarije en Australië. De schade van de worm, die sinds een paar dagen actief is, zou vooralsnog beperkt blijven tot ongeveer duizend iPhones, schat security officer Scott McIntyre van KPN.
In Nederland zijn volgens McIntyre enkele duizenden iPhones kwetsbaar voor deze exploit. "Maar het blijft lastig om een goede schatting te maken", aldus McIntyre tegen Tweakers.net. Wellicht dat het aantal kwetsbare iPhones door de recente publiciteit over de ssh-exploits is afgenomen, omdat gebruikers zich realiseerden dat ze hun root-password niet hadden veranderd.
De worm doet diverse schadelijke zaken: zo verandert de worm het root-wachtwoord, waardoor gebruikers zelf niet meer op ssh in kunnen loggen. Hij maakt bovendien contact met een server in Litouwen, waarnaar diverse gegevens worden gestuurd. Ook kan de worm de sms-database naar een bestand wegschrijven. Daarmee zouden bijvoorbeeld tan-codes van klanten van de ING-bank worden achterhaald. Ook kan de maker van de worm via de ssh-verbinding aanvullende malware installeren.
McIntyre kwam de worm op het spoor, toen hij enkele dagen geleden een ongewoon aantal ssh-aanvallen voorbij zag komen op ip-adressen van dezelfde range. Deze ssh-verbindingen liepen via Xs4All, omdat de iPhones bij gebruikers thuis overschakelen op het wifi-netwerk. "Aangezien er al een paar eerdere exploits waren voor ssh op iPhones, leek het mij logisch dat iemand een volgende variant had gemaakt."
De worm is niet de eerste exploit voor ssh op gejailbreakte iPhones. De afgelopen weken doken diverse tooltjes op die gebruikmaken van het feit dat sommige iPhone-bezitters hun toestel jailbreaken en een ssh-tooltje eropzetten, maar daarbij geen eigen wachtwoord instellen. Slachtoffers van de worm kunnen het beste een reset doen en daarbij de reguliere Apple-firmware op het toestel zetten. "Daarbij moeten gebruikers goed nadenken of ze hun toestel willen jailbreaken. Daarna moeten ze zich afvragen of ze OpenSSH wel nodig hebben. Als ze dat doen, moeten ze natuurlijk gelijk het root-password veranderen."
Update 11:55: Het artikel is aangepast naar aanleiding van een eigen interview met Scott McIntyre, waardoor extra informatie aan het artikel kon worden toegevoegd.