Sicherheitslücke Standard-Passwort: Billige Hacker-Nummer aus Holland
ArsTechnica berichtet über den Versuch eines Niederländischen Hackers, 5€ von unvorsichtigen iPhone-Nutzern zu erpressen. Dem Anschein nach, dürfte das Script-Kiddie im holländischen T-Mobile Netz nach jailbroken iPhones gesucht haben, um anschließend den SSH-Verbindungsaufbau mit den Standard-Passwörtern des iPhones einzuleiten. Hatte diese – wohl weitestgehend automatisierte – Methode erfolg, blendete der Hacker ein Popup-Fester ein, das zum Besuch der (zwischenzeitlich gesperrten) doiop.com/iHacked Seite aufrief. Hier verlangte der Hacker dann 5€ für eine Anleitung zum Schließen der Sicherheitslücke.
„The hacker relied on unchanged root passwords to hack into the phones. He then sent what appears to be an SMS alert to the hacked phones that read, „You iPhone’s been hacked because it’s really insecure! Please visit doiop.com/iHacked and secure your iPhone right now! Right now, I can access all your files.“ Going to the website directs the user to send €5 to a PayPal account, after which the hacker will e-mail instructions to remove the hack—which most likely involve restoring the iPhone to factory settings.“
Intelligenz lässt grüßen…
Wer allerdings auch SSH installiert und dann nicht einmal das Passwort ändert – was nebenbei gesagt überall empfohlen wird – ist auch selber Schuld.
zumal sich SSH ja auch ganz einfach über SBSettings abstellen lässt :-)
aber bei jedem neustart wird ssh neu geladen/gestartet. ;)
und ich finde leute die ssh mit default passwörtern am laufen haben gehören bestraft; vielleicht nicht erpresst, aber wenigstens würde ich denen ne „alternative“ sms.db raufspieln oder so.. *g*
Wie ändere ich denn das SSH Passwort? Dachte bisher die wären fest.
Ähm kenne mich zwar gut mit iPhones aus aber kannst du mir vielleicht sagen wie ich das SSH Pw ändere?;D Habs echt noch nie gehört
ssh root@[iphoneIP]
(Passwort eingeben, vermutlich ‚alpine‘ ;))
passwd NeuesPasswort
Habs schon;)
Hi Wegi. Die Weitergabe der Antwort auf eine selbstgestellte Frage ist ’ne moralische Pflicht. Hier ein passender Link für alle Suchenden: http://tinyurl.com/iphonesshpa.....sswort
Schaut mal: http://cydia.saurik.com/passwo.....rd.html
Kann man eigentlich abschalten, dass SSH bei jedem reboot wieder automatisch aktiviert ist?
Muss trotzdem sagen eine lustige Idee. Frage mich wann die erste Werbeagentur zu solchen Mitteln greift um ihre Werbung auf Jailbroken iPhones zu senden.
lutztitsch :)
Schmeisst am besten SSH raus frisst nur Strom wenn man es nicht braucht.
Aha…? Hast du da Erfahrungswerte? Oder gar ’ne Quelle? Oder ist das nur ein immer wieder gerne genommener Generalverdacht?
OpenSSH frißt KEINEN Strom. Der SSH Daemon wird von launchd bedient, das wiederum immer aktiv ist/sein muß und (neben anderen Dingen) auf eingehende Verbindungen wartet.
Danke für die Erklärung, so hatte ich das auch mal irgendwann gelesen.
Aber „Stromfresser“ ist halt so schnell dahingesagt, gell, Doc? (hier bitte Augenroll-Smilie einsetzen)
Ähm blöde Frage für einen recht neuen Jailbreaker: dieses Thema muss mich nicht weiter interessieren, wenn ich OpenSSH nicht benutze, richtig? Oder muss ich dann trotzdem mein root passwort ändern usw??
Danke.
Nö.
in deutschland ist das eh irrelevant, da sind einzelne geräte nicht ansprechbar wenn man z.B. per 3G drin ist weil T-Mobile für mehrere Geräte die selbe IP vergibt.
es sei denn du änderst den APN.. aber wer das kann, der ändert auch sein PW ;D
In Deutschland ist es irrelevant da alle iPhone’s hinter einem DCN liegen. Also quasi in einem eigenen Netzbereich sind, da wäre es höchstens möglich die iPhones untereinander anzupingen, aber das wird wahrscheinlich auch wieder durch verschiedene Subnetzte unmöglich gemacht worden sein.
Das sieht man daran, da die iPhones eine IP aus dem 10.0.0.0 er Netz bekommen, welches ein privaten LAN’s zugesicherter IP Bereich ist. Dann wiederum gehen sie über einen Gateway (Router) nach draußen, welcher wiederum von außen keine direkten Verbindungen zu den Geräten zulässt.
Ich frage mich nur warum dies in Holland nicht auch so abgesichert wird, denn für Handys benötigt man in der Regel keine IP aus dem Klassennetz, das wiederum würde einiges an Freiheiten gewähren, das ganze aber auch um einiges angreifbarer machen, was wiederum ein schlechtes Licht auf den Netzbetreiber wirft.
Hm, welcher klar denkende Mensch spielt sich schon einen SSH-Server auf einen Rechner und stellt dann das Standard-Passwort nicht um?
Das ist das erste, was ich mache, egal auf welchem System… wenn die Änderung nicht schon vorher verlangt wurde.
also die idee find ic htrotzdem irgendwie lustig :D
Wer fällt den auf so einen quatsch rein?^^ wenn ich den gedanken habe, da könnte was dran sein, google ich mal schnell^^ spätestens da, sollte man dann sehen das es fake und abzocke ist^^ lol
Auf der Seite: http://mr09.fileave.com entschuldigt sich der Hacker und postet eine Anleitung um diesen „Hack“ rückgängig zu machen. Anscheinen handelt es sich dabei nur um ein Custom Wallpaper welches ausgetauscht wurde, außerdem empfiehlt er eine Logdatei zu löschen, in der der Zugriff wahrscheinlich gespeichert wurde.
Aber wenn er nur das Wallpaper geändert haben soll, wie hat er dann das Hacked oben in die Statusleiste bekommen? Und das angebliche SMS Verschicken, halte ich auch für schwer möglich via Konsole.
Wobei er wenn er Schaden hätte anrichten wollen, wohl einfach alles hätte löschen können, dann hätte auch nur eine Wiederherstellung geholfen.