Eerste kwaadaardige worm voor iPhone duikt op - update

De afgelopen dagen is de eerste kwaadaardige worm voor gejailbreakte iPhones opgedoken. De worm dringt de iPhone binnen door met het standaardwachtwoord op ssh in te loggen. De worm zou bouwen aan een botnet van iPhones.

iPhoneDe worm verspreidt zichzelf door ip-ranges te scannen en zo andere kwetsbare iPhones te vinden, meldt Security.nl. De worm richt zich niet alleen op Nederlandse gebruikers, maar heeft ook al slachtoffers gemaakt in Portugal, Hongarije en Australië. De schade van de worm, die sinds een paar dagen actief is, zou vooralsnog beperkt blijven tot ongeveer duizend iPhones, schat security officer Scott McIntyre van KPN.

In Nederland zijn volgens McIntyre enkele duizenden iPhones kwetsbaar voor deze exploit. "Maar het blijft lastig om een goede schatting te maken", aldus McIntyre tegen Tweakers.net. Wellicht dat het aantal kwetsbare iPhones door de recente publiciteit over de ssh-exploits is afgenomen, omdat gebruikers zich realiseerden dat ze hun root-password niet hadden veranderd.

De worm doet diverse schadelijke zaken: zo verandert de worm het root-wachtwoord, waardoor gebruikers zelf niet meer op ssh in kunnen loggen. Hij maakt bovendien contact met een server in Litouwen, waarnaar diverse gegevens worden gestuurd. Ook kan de worm de sms-database naar een bestand wegschrijven. Daarmee zouden bijvoorbeeld tan-codes van klanten van de ING-bank worden achterhaald. Ook kan de maker van de worm via de ssh-verbinding aanvullende malware installeren.

McIntyre kwam de worm op het spoor, toen hij enkele dagen geleden een ongewoon aantal ssh-aanvallen voorbij zag komen op ip-adressen van dezelfde range. Deze ssh-verbindingen liepen via Xs4All, omdat de iPhones bij gebruikers thuis overschakelen op het wifi-netwerk. "Aangezien er al een paar eerdere exploits waren voor ssh op iPhones, leek het mij logisch dat iemand een volgende variant had gemaakt."

De worm is niet de eerste exploit voor ssh op gejailbreakte iPhones. De afgelopen weken doken diverse tooltjes op die gebruikmaken van het feit dat sommige iPhone-bezitters hun toestel jailbreaken en een ssh-tooltje eropzetten, maar daarbij geen eigen wachtwoord instellen. Slachtoffers van de worm kunnen het beste een reset doen en daarbij de reguliere Apple-firmware op het toestel zetten. "Daarbij moeten gebruikers goed nadenken of ze hun toestel willen jailbreaken. Daarna moeten ze zich afvragen of ze OpenSSH wel nodig hebben. Als ze dat doen, moeten ze natuurlijk gelijk het root-password veranderen."

Update 11:55: Het artikel is aangepast naar aanleiding van een eigen interview met Scott McIntyre, waardoor extra informatie aan het artikel kon worden toegevoegd.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 21-11-2009 11:19 125

21-11-2009 • 11:19

125

Lees meer

'Banktransacties verifiëren via sms is zeer onveilig' - update
'Banktransacties verifiëren via sms is zeer onveilig' - update Nieuws van 12 december 2013
'Nokia en RIM zetten beveiliging open voor Indiase overheid' - update
'Nokia en RIM zetten beveiliging open voor Indiase overheid' - update Nieuws van 3 augustus 2010
Skype-worm doet zich voor als vraag om advies
Skype-worm doet zich voor als vraag om advies Nieuws van 8 mei 2010
'Exploit Safari kan voor jailbreak iPhone-OS zorgen'
'Exploit Safari kan voor jailbreak iPhone-OS zorgen' Nieuws van 31 maart 2010
Microsoft: IE8 blokkeert meer malware dan andere browsers
Microsoft: IE8 blokkeert meer malware dan andere browsers Nieuws van 8 maart 2010
Driver maakt gebruik bluetooth-toetsenbord met iPhone mogelijk
Driver maakt gebruik bluetooth-toetsenbord met iPhone mogelijk Nieuws van 23 december 2009
KPN onderhandelt met Apple over verkoop iPhone
KPN onderhandelt met Apple over verkoop iPhone Nieuws van 4 december 2009
Hackers maken tooltje om gegevens van gejailbreakte iPhones te stelen - update
Hackers maken tooltje om gegevens van gejailbreakte iPhones te stelen - update Nieuws van 13 november 2009
'Rickrolling'-worm belaagt iPhone-gebruikers
'Rickrolling'-worm belaagt iPhone-gebruikers Nieuws van 9 november 2009
T-Mobile gaat ssh-hack iPhones onmogelijk maken
T-Mobile gaat ssh-hack iPhones onmogelijk maken Nieuws van 4 november 2009
Hacker iPhone krijgt toegang tot logingegevens iTunes
Hacker iPhone krijgt toegang tot logingegevens iTunes Nieuws van 3 november 2009
Nederlandse tiener kaapt iPhones via ssh
Nederlandse tiener kaapt iPhones via ssh Nieuws van 2 november 2009
Meer producten en artikelen
Smartphones Mobiele besturingssystemen Privacy Apple T-Mobile iPhone iOS Beveiliging Malware Nederland

Reacties (125)

-Moderatie-faq
125
108
62
8
0
16
Wijzig sortering

Sorteer op:

Weergave:
fstieger99 21 november 2009 11:45
Voor degene die zijn Iphone wil beveiligen zijn er 2 opties:

1: SSH Uitzetten via Bossprefs als je het niet gebruikt

2: download "Terminal" een soort CMD line tool voor je Iphone

- Installeer Terminal via Cydia
- Run Terminal je bent nu ingelogd als mobile gebruiker met de default user, Type nu:

su root
password: (type alpine) = default wachtwoord op bijna alle 3g modellen

Je bent nu ingelogd in de root. Type:

passwd

Hij vraagt je nu een nieuw passwoord te verzinnen.

Klaar..
praseodymium @fstieger9921 november 2009 12:18
Je moet ook het wachtwoord van de mobile-gebruiker veranderen, daarmee kun je namelijk ook overal bij. Het wordt dus iets als:

mobile$ su
(su vraagt om wachtwoord: alpine)
root$ passwd
(root-wachtwoord veranderen)
root$ passwd mobile
(mobile-wachtwoord veranderen)
iMars @praseodymium21 november 2009 15:27
Is het wachtwoord van de mobile-gebruiker wel bekend dan? De root kan iedereen op google vinden, maar die van de mobile-gebruiker had ik nog niet gevonden.
donny007 21 november 2009 12:56
Weer een tip voor alle mensen met een gejailbreakte iPhone en/of iPod touch waarop openSSH is geïnstalleerd:

Verander je password op deze manier:
1. Login via ssh, gebruik PuTTY(windows) of openSSH(linux/osx)
2. Gebruik als username root en als password alpine
3. Type het commando passwd en druk op enter
4. Type 2x een nieuw password in, en druk op enter
5. Nu is je iPhone beveiligd tegen de SSH exploits

Herhaal deze stappen om ook het password van de mobile gebruiker aan te passen, bij stap 3 moet je dan het commando passwd mobile gebruiken.

Tip: Gebruik een sterk wachtwoord, wachtwoorden als admin of rootroot zijn in 2 sec gekraakt, een sterk wachtwoord is met hoofdletters, kleine letters, tekens en cijfers bijv. F@1L_Ph0n3bY@ppl3.

Tip2: Schakel de SSH server uit na gebruik, dit is niet alleen goed voor de veiligheid, maar ook voor de levensduur van de batterij.

[Reactie gewijzigd door donny007 op 23 juli 2024 18:51]

labius_caesar 21 november 2009 11:31
Of je installeert openSSH een keer...vervolgens installeer je "installous" en daarna verwijder je openSSH weer...

Volgens mij heb je daarna nergens meer last van :)
SYQ @labius_caesar21 november 2009 11:43
ik heb zelf cydia, installious en nog paar handige programmas op mn iphone staan.. snel ff met cydia de packages bekeken, en ik zie nergens openssh staan. betekend dit automatisch dat ik geen ssh client op mn iphone heb staan??
Verwijderd @SYQ21 november 2009 12:01
Bij de packages van Cydia kijken en dan kijken of der OpenSSH tussenstaat, zo nee dan heb je geen OpenSSH geinstalleerd.

Als deze er wel bij staat dan dan log je in op de SSH met bijvoorbeeld PuTTY met root en alpine. Daarna voer je in alpine (enter) -> passws (enter) -> nieuwwachtwoord (enter) -> nieuwwachtwoord (enter). Dit moet je ook even doen voor de gebruiker mobile.

Let wel op dat als je nieuwe firmware installeerd en je weer SSH hebt geinstalleerd dat je dit opnieuw moet doen!
SYQ @Verwijderd21 november 2009 12:38
dank.. !

zojuist weer dubbelgechecked, er staat geen openssh of een ander prog met de naam ssh geinstalleerd :)
ZpAz
@SYQ21 november 2009 11:59
Jeps, je moet het zelf installeren, en daarna dom genoeg zijn om het standaard wachtwoord niet te wijzigen.
OCTheEagle @labius_caesar21 november 2009 11:40
Of je wijzigt het standaard openSSH wachtwoord. Ben overigens benieuwd of antivirusbedrijven hier nog een slaatje uit proberen te slaan met behulp van een virusscanner for iPhone.
Brainiacs @OCTheEagle21 november 2009 11:45
Dat verwacht ik niet, een antivirus programma moet wel op de achtergrond draaien en dat laat Apple momenteel niet to. En Antivirus bedrijven zullen geen software maken voor een gejailbreakte iPhone.
Verwijderd 21 november 2009 12:02
Waarom heeft elke iphone een standaard root wachtwoord dan?
Beetje knullig hoor.
ZpAz
@Verwijderd21 november 2009 12:07
Dat heeft hij misschien wel maaaaar standaard kan je daar helemaal niets mee. Je hebt er geen toegang tot, je moet er eerst custom firmware op knallen, en daarna moet je ook nog eens een ssh-server installeren, waarvan je het default wachtwoord niet wijzigt..

Ik vind de eindgebruiker die het wachtwoord niet wijzigt dan een beetje knullig.
Verwijderd @ZpAz21 november 2009 12:11
Als je iets doet, doe het dan ook goed...
Frietsaus @Verwijderd21 november 2009 12:08
Kan alleen worden misbruikt als de gebruiker zelf via een jailbreak OpenSSH installeert. Dit is niet iets wat er standaard op staat en het is ook niet mogelijk via de App Store. De normale gebruiker is nog steeds veilig. :)
iMispel 21 november 2009 11:56
Zozo, de eerste kwaadaardige worm voor de iPhone. Ik vraag mij echter wel sterk af of hij echt slachtoffers maakt. De enigen die kwetsbaar zijn, zijn mensen die én hun iPhone gejailbreakt hebben, én een SSH-tool geinstalleerd hebben, én zo dom waren om hun standaard paswoord niet te veranderen.

Mag ik van de veronderstelling uitgaan dat mensen die in staat zijn om hun iPhone te jailbreaken, en om één of andere reden een SSH tool nodig hebben, mensen zijn die wat informatica kennis hebben en toch wel hun standaard paswoord veranderen? Alsook denk ik dat dit soort mensen een beetje het tweakernieuws volgen en daarom al hun paswoord veranderd hebben. Anderzijds vind ik het de verantwoordelijkheid van de makers van zulke programma's om er voor te zorgen dat je de eerste maal dat je het programma draait je een paswoord moet kiezen en er geen standaard paswoord ingesteld wordt.

Vanaf het moment dat er een echte exploit is die op alle iPhones werkt, dan zitten ze met een probleem. Wat er nu gebeurt is weer een storm in een glas water, zoals er al zoveel geweest zijn over de iPhone
praseodymium @iMispel21 november 2009 12:22
Er zijn waarschijnlijk genoeg mensen die een of andere howto hebben gelezen over hoe ze bij de bestanden van hun iPhone kunnen komen. Als die howto niet vermeld dat je het wachtwoord moet wijzigen, dan kan ik me voorstellen dat je dat als gebruiker ook niet meteen bedenkt.

Dat Xs4all deze activiteit opmerkte zegt al wel wat; ze zullen een tiental verbindingen echt niet opmerken. Het zal dus al snel over honderden gaan.
HKS-Skyline 21 november 2009 19:00
het zou me eigenlijk niets verbazen als dit door apple zelf is ingevoerd, zij zijn tenslotte niet blij met de gejailbreakte iphones, en legale stappen zijn nogal ingewikkeld/onmogelijk, dus tsja waarom dan niet via een achterdeurtje een virus er in gooien dat die telefoons aanvalt om zo te voorkomen dat mensen de telefoon gaan jailbreaken omdat ze bang zijn virussen te krijgen....

(dit is overigens geen aanname of beschuldiging, slechts een gedachtegang. Om de fanboys maar alvast voor te zijn)
robvanwijk
@HKS-Skyline22 november 2009 00:53
het zou me eigenlijk niets verbazen als dit door apple zelf is ingevoerd,
In dat geval zou ik Apple aanraden om even advies in te winnen bij Sony en die jongens te vragen "Is het verstandig om iets heel stoms te doen, als er toch nooit iemand achter komt?"...
Los daarvan, degene die deze code voor Apple geschreven heeft die kan ze daar gruwelijk hard mee afpersen. En, als dit echt in opdracht is gedaan van de raad van bestuur, dan is de kans dat het uitlekt enorm, want dan moeten er veel teveel mensen van op de hoogte zijn, in elk geval van het feit dat er iets raars aan de hand is.
Je kunt niet uitsluiten dat het een Apple-medewerker is die op eigen houtje handelt, maar het lijkt me niet heel waarschijnlijk.
berend_engelbrecht @HKS-Skyline21 november 2009 19:51
Ja, en ze hebben ook speciaal een kantoor in Litouwen geopend om die gegevens te verwerken.... wel gek dat dat bij het hoofdkantoor niet bekend is: op de Litouwse site onder apple.com staan alleen adressen van "partners" en niet dat er een kantoor van apple zelf is:
http://www.apple.com/euro/cemea/
http://images.apple.com/lt/support/contact/LT.pdf
Het zal wel deep undercover zijn 8-)

[Reactie gewijzigd door berend_engelbrecht op 23 juli 2024 18:51]

Xaero 21 november 2009 11:22
Als ze nou even bij het jailbreak programma iets inbouwen dat automagisch het root passwoord laat of dat je hem zelf moet veranderen voorkom je al problemen in de toekomst :)
Stefan_D @Xaero21 november 2009 11:28
De security van jouw telefoon is jouw zaak, dunkt me. Als jouw telefoon gekraakt wordt omdat je zo dwaas was om je telefoon niet te beveiligen is dan ook jouw probleem.
Verwijderd @Stefan_D21 november 2009 11:40
Niet helemaal. Jij bent wel verantwoordelijk voor het gebruik van je mobiele telefoon maar de bouwer/leverancier/ISP horen er wel voor te zorgen dat er een basis niveau van beveiliging in zit.

In dit geval ligt het probleem bij de gebruikers aangezien die hun iphone hebben 'gejailbreakt' en het SSH wachtwoord niet hebben verandert. Echter, je zal in de nabije toekomst ook virussen en malware voor mobieltjes gaan zien net zoals je dat nu voor de PC ziet. En dan is ook weer de vraag wie is hier nu verantwoordelijk voor? Jij als gebruiker of de ligt er toch ook een stukje verantwoordelijkheid bij de ontwikkelaar van het mobiele OS of de applicatieontwikkelaar?
watercoolertje
@Verwijderd21 november 2009 12:19
Haal die hele ISP maar weg, die heeft er NIKS mee te maken... Beheren via 3G van een server die 200KM verder op staat waar het internet wegvalt is 1 van de dingen waar je dit ideaal voor kan gebruiken, net als beveiligingsapparatuur welke beelden via 3G kan versturen en die beheerd kunnen worden via SSH... En zo kan ik nog wel meer verzinnen, dat weegt niet op tegen de luiheid van andere klanten. Ik heb (thuis) toch ook een firewall waar internet binnen komt, als de provider dat soort dingen op moet lossen dan had ik die echt niet gehoeven ;)
eonflux 21 november 2009 12:25
Collega van mij had hier last van. Ze hadden hem bij XS4all afsloten. Hij had een Mac thuis en snapte niet hoe het toch kon. Na twee gehoord te hebben dat ze hem niet wilde helpen en het maar zelf moest uitzoeken. Besloot hij nog een derde keer te bellen. Toen kreeg die toch wel een vriendelijke jongen aan de lijn. Na zijn verhaal gehoord te hebben vroeg die of hij ook een Iphone had en of hij die gejailbroken had. En ja hoor.

edit:
ff reactie opde SSH. Het probleem is niet dat het er op staat maar dat het standaard password er op staat. Het zou gewoon simpel zijn om aan die install routine een pass-genarator te voegen die het wachtwoord RND maakt en je vraagt het te noteren.

En het is op z'n aller minst raar, ik weet je koopt het immers Apple. Maar nog is het raar dat als je iets koopt zelf niet kan bepalen wat je er op mag zetten. Of niet soms?

[Reactie gewijzigd door eonflux op 23 juli 2024 18:51]

MisterBlue @eonflux21 november 2009 12:42
Je mag er alles opzetten als het maar van de appstore komt. Denk dat apple zijn klanten goed genoeg kent om te weten dat niet iedereen kan omgaan met zaken als een ssh daemon en een unix commandline.
ppl
@MisterBlue21 november 2009 18:23
Hij doelt hier op de installatie procedure van dingen als de jailbreak en de ssh server. Het staat er op dit moment als waarschuwing bij plus dat iedere tutorial dit ook vermeldt. Mensen zijn alleen te lui om te lezen of hebben een houding van "boeiuh" met als gevolg dat het default wachtwoord blijft staan. Op zich is het in deze niet heel erg raar om het wijzigen van het wachtwoord te forceren op moment dat je een ssh server installeert. Wellicht ook handig om die standaard uit te zetten waarbij je als gebruiker zelf steeds moeite moet doen om 'm aan te zetten indien je 'm nodig hebt. Dat zou denk ik het probleem aardig reduceren (er is nog altijd de kans dat men het wachtwoord gaat gokken waardoor ze alsnog in kunnen loggen, waterdicht is het dus niet).
Verwijderd 21 november 2009 11:54
Ik snap de ophef niet helemaal. Want dit kan in feiten met elke Unix like systeem met SSH en standaard (publiek) bekent wachtwoord. Dus als het mogelijk is om in de toekomst SSH te draaien op een Android telefoon met ook een standaard wachtwoord. Dan is deze ook op eens inbraak gevoelig toch? Daarnaast hebben mensen gewoon de verantwoordelijk om hun wachtwoord te veranderen, net zoals het op slot doen van hun huis.
MisterBlue 21 november 2009 12:28
'OpenSSH is niet meer veilig, want het geeft hackers de kans om een worm te installeren.'

Waar het omgaat is dat security through obscurity niet werkt. Apple heeft er om diverse redenen voor gezorgd dat het out of the box niet kan.

Het is wel jammer dat gewone iPhone gebruikers nu onterecht bang gemaakt worden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq