Kleine waarschuwing voor de mensen met een gejailbreakte iphone die het default ww nog niet veranderd hebben.

Er is een worm opgedoken die allerlei data van je iphone afript en je probeert te verleiden naar een phising site te gaan.

Bron

Gebruik Toggle SSH na het restarten van je iPhone en als het goed is kan er niemand meer bij.

en dan niet vergeten om na een reboot ssh weer uit te zetten!
En niet vergeten het standaard ww te veranderen.

Blijft altijd ellende geven, default wachtwoorden die niet verplicht veranderd hoeven te worden

Eindelijk! Heh-heh, dat was nog lang wachten. Ik vroeg me al af wanneer iets dergelijks eindelijk op zou duiken.

EDIT:
Het kan nog "beter", zodat het de gebruiker nog minder opvalt.

1. Installeer een keylogger
2. Vang username + password af voor Mijn ING
3. Maak een betalingsopdracht
4. Vang SMS met TAN code af
5. Gebruik TAN en verwijder SMS van iPhone.
6. ...
7. Profit.

(Bewerkt door Cailin Coilleach om 7:54, 23-11-2009)

En dit haalt ook gelijk het grote gelijk van de Apple community onderuit. Ook voor OSX is een worm te schrijven die werkt.
Nu is het doordat mensen zelf ssh aan hebben gezet maar de volgende keer is het zomaar omdat bijvoor Safari lek blijkt.

Apple moet echt iets doen aan het default ww op de iphone doen, het is een risico.

En dit haalt ook gelijk het grote gelijk van de Apple community onderuit. Ook voor OSX is een worm te schrijven die werkt.

Het is altijd al mogelijk geweest om een worm te schrijven voor OS X, echter die zou weinig succes hebben. De enige reden waarom het nu zo'n succes heeft is omdat er duizenden mensen zijn die onwetend zelf hun systeem wagenwijd open hebben gezet. Niet de schuld van Apple, maar van henzelf. Ze worden er zelfs op gewezen bij het installeren van de tools.

(Bewerkt door Cailin Coilleach om 9:14, 23-11-2009)

dat wel maar dat default ww van Apple is mede oorzaak van dit.

Ja maar...ja, maar... MightyMr, je hebt gelijk!

(Man, wat wil je dan: dat Apple een ww installeert wat jij als gebruiker ook niet weet? Elke telefoon e.d. heeft een default wachtwoord.)

(Bewerkt door Flix om 9:36, 23-11-2009)

Mja, er zijn meerdere manieren te bedenken om wel met een onbekend password te werken, echter in de meeste werkbare gevallen zal ook daarbij het password nog te achterhalen zijn. Of de lijst met bekende codes wordt gelekt, of het algoritme waarmee het password wordt gegenereerd wordt bekend.

Bijvoorbeeld.

Wat ook helpt is je telefoon niet jailbreaken. Het is overigens een beetje krom om Apple te verwijten dat een gejailbreakte iPhone een potentieel lek bevat...

Ik verwijt niemand wat, het is gewoon dom om de waarschuwingen tijdens installeren ssh te negeren.

Als je een huis huurt, je laat de sleutel bewust in de deur steken, en er wordt ingebroken: verwijt je dan ook de verhuurder dat er bij je is ingebroken?

Dus ... als je het besturingssysteem waar je een licentie op hebt beschadigt d.m.v. een jailbreak, je het SSH wachtwoord niet verandert, kan je moeilijk Apple iets verwijten toch?

Of begrijp ik het nu verkeerd?

[news]

MightyMr om 9:26, 23-11-2009
dat wel maar dat default ww van Apple is mede oorzaak van dit.

Apple moet echt iets doen aan het default ww op de iphone doen, het is een risico.

Ok weet niet of dit onwetendheid is of stemmingsmakerij, maar in ieder geval is dit gewoon niet waar.

Het standaardwachtwoord waar we het over hebben op een iPhone is van SSH en dat staat alleen op je iPhone als je èn een Jailbreak hebt èn SSH geïnstalleerd. En als je SSH open hebt staan met het standaard wachtwoord daarvan (alpine) dan loop je een kleine kans dat er data gestolen wordt.

Mocht je inderdaad een Jailbreak hebben en SSH hebben geïnstalleerd, dan kan je in dit nieuwsbericht de link vinden waarmee je makkelijk het wachtwoord kunt veranderen.[/news]

Dat default ww staat sowieso op je iphone, het wordt alleen bereikbaar wanneer je ssh aanzet. Het is het default ww van de user mobile waar alle processen onder draaien en het root ww is hetzelfde.

Dus, helemaal niet pas als je ssh installeerd, wel pas bereikbaar als je ssh enabled.

@ MightyMr:
En wat moet je dus doen? Juist, het niet bereikbaar maken. Ik laat in de kroeg m'n autosleutels toch ook niet op tafel liggen als ik even ga pissen?

(Bewerkt door Cailin Coilleach om 11:00, 23-11-2009)

[news]Maar Apple heeft toch helemaal niets te maken met het feit dat anderen het risico nemen om SSH te installeren en zo kwetsbaar zijn? Al zouden ze bij iedere update dat wachtwoord veranderen dan zouden de scammers toch gewoon op al die wachtwoorden kunnen scannen?

Hoe dan ook, Apple heeft hier niets mee te maken. Als jij je beheerders-wachtwoord op het internet zet kan je ook moeilijk Apple de schuld geven als je Mac gehackt wordt...[/news]

@Robert, kom eens uit je standaard denkpatroon of lees beter! Ik zeg toch dat ik Apple niets verwijt?

Ik zeg alleen dat ik geen voorstander ben van default wachtwoorden

[news]

MightyMr om 11:04, 23-11-2009
@Robert, kom eens uit je standaard denkpatroon of lees beter! Ik zeg toch dat ik Apple niets verwijt?

Misschien even je eigen posts nalezen? Ik heb vijf posts hierboven twee quotes van jou staan waar je het Apple duidelijk wel verwijt.

Maar gelukkig is dat kennelijk nu niet meer zo... [/news]

mede oorzaak noemen en "oproepen" er iets aan doen is iets genuanceerder dan verwijten.

[news]Wel raar: ING zou inmiddels actief klanten informeren. Ik heb een iPhone, ben klant van de ING maar heb (nog) niks vernomen. Kijk ik op hun site, staat daar niets. Ook niet bij het nieuws. Ik heb ook geen e-mail gehad, of iets dergelijks.

Slechts op de inlogpagina staat een regeltje, waar ik al eerder op de avond nietsvermoedend langs ben gekomen. Pas toen ik op zoek ging naar de wijze waarop de ING mij probeerde te informeren, zag ik het staan.

Dat kan wel wat nadrukkelijker, ING...

Hoewel ik helemaal geen gekraakte iPhone heb, trouwens. Maar ik ben er altijd benieuwd naar hoe ik geïnformeerd had moeten worden...

[ Ger ][/news]

@Ger,

Vanuit de bankwereld gezien is het heel logisch dat men bescheiden aandacht geeft aan dit wormprobleem.
Het schaadt voor de zoveelste kkkeeeerrr het vertrouwen van de consument in het bancaire stelsel.

Zat net even in Het Parool te lezen over de bankpasfraude:
31 millioen per jaar! Hoor je ook nauwelijks iets over.

Vanuit mijn wereldje ben ik daar eigenlijk ziedend over,
maar goed in mijn optiek is het bancaire stelsel dan ook
een kongsi van legale schurken.

[news]

Ger Nijkamp om 22:42, 23-11-2009
Maar ik ben er altijd benieuwd naar hoe ik geïnformeerd had moeten worden...]

Door middel van een worm..?   [/news]