Merkwaardige exploit met vermelding iPhoneclub treft iPhones

Sommige iPhone-bezitters melden een vreemde opstart-afbeelding op hun scherm, waarin naar iPhoneclub wordt verwezen. Een rare grap of een publiciteitsstunt? Wij hebben er in ieder geval niets mee te maken.
Gonny van der Zwaag - · Laatst bijgewerkt:

iphone exploitSinds vanochtend melden enkele iPhone-bezitters een vreemde afbeelding op hun scherm te hebben aangetroffen, met de mededeling: “Visit iphoneclub.nl if you want to know what the hell happened here, ph0n3r.h4ckrs@gmail.com haz hacked ur phown”. De afbeelding verschijnt als lockscreen-afbeelding op de iPhone, na een al dan niet spontane reboot van het toestel. Aanvankelijk werd gedacht dat het zou gaan om een grapje die iemand tijdens Mobile Dev Camp via het lokale Wi-Fi-netwerk had uitgehaald. Maar dat lijkt niet het geval.

Voor alle duidelijkheid: iPhoneclub heeft hier niets mee te maken. Het is geen rare publiciteitsstunt en we kennen ook de betrokken hacker niet, die zich ph0n3.h4ck3r (let op de stoere scriptkiddie-naam!) noemt. We houden vooralsnog rekening met een flauwe grap om onze website in diskrediet te brengen.

De hacker is van plan om met zijn bevindingen eerst naar Apple te gaan, zodat ze de kans krijgen om de exploit te dichten, voordat anderen ermee aan de haal kunnen gaan. We hadden aanvankelijk het vermoeden dat de exploit iets te maken zou hebben met het openbare Wi-Fi-netwerk op Mobile Dev Camp (omdat de eerste reacties op dat nieuwsitem waren), vervolgens dat het iets te maken zou hebben met het installeren van illegale ipa’s of met het installeren van een obsuur WinterBoard-thema, maar dat lijken niet de gebruikte methoden te zijn (al is het ook in de genoemde gevallen goed om op je hoede te zijn!).

Het lijkt erop dat de hacker gewoon gebruik heeft gemaakt van een SSH-lek, dat al zeker een jaar bekend is. Het standaard root-wachtwoord van de iPhone is immers wijdverbreid bekend en de IP-adressen van T-Mobile-telefoons bevinden zich in een vrij beperkte reeks. Deze zijn dus vrij gemakkelijk langs te lopen; ook al ben je daar wel even mee bezig. Echter: tot nu toe zijn alle meldingen gedaan door mensen met een iPhone met jailbreak en gaat het in bijna alle gevallen om nieuwe forumleden die zich uitgerekend vandaag op het iPhoneclub-forum hebben geregistreerd. Het aantal ‘slachtoffers’ is op dit moment niet meer dan tien.
Er zou bij een van de getroffenen ook sprake zijn van een verzonden sms-bericht vanaf zijn iPhone, met de volgende tekst:

van 003164303XXXX
welkom bij de eerste publieke iphone exploit test. zoals je merkt … niets met ssh te maken. hou vooral het forum in de gaten, dit wordt een knaller

ph0n3.h4ck3r geeft in een reactie echter aan duidelijk te willen maken dat het standaard root-wachtwoord van de iPhone altijd veranderd moet worden, of je nu SSH gebruikt of niet. De hacker beweert dat de exploit alleen werkt wanneer dit root-wachtwoord bekend is.

Verder meent ph0n3.h4ck3r dat er geen sprake is van computervredebreuk omdat er geen informatie is ontvreemd of kwijtgeraakt. Dat is niet correct: er is wel degelijk zonder jouw toestemming toegang tot je iPhone verkregen en er zijn ongevraagd wijzigingen aangebracht op de iPhone. Wij raden je aan hiervan aangifte te doen bij de politie, aangezien het hier om een strafbaar feit gaat.

Oplossingen

We hebben onlangs nog de tip gegeven om vanaf je Mac (of Windows met een Windows-terminalprogramma) het root-wachtwoord van de iPhone te wijzigen. Het kan echter ook op de iPhone zelf:

  • Installeer via Cydia de applicatie Mobile Terminal;
  • Start Terminal en geef – steeds gevolgd door een Enter – de volgende commando’s:
    [code lang=”sh”]
    su root
    passwd
    alpine


    [/code]

Daarnaast vind je meer achtergrondinformatie in het bijgewerkte wiki-artikel OpenSSH (met dank aan forumgebruiker Buur).

Mocht je getroffen zijn door de exploit: op het forum heeft Sjowol al uitgelegd hoe je de ongewenste lockscreen-afbeelding kunt verwijderen. De nieuwe afbeelding is te vinden in de volgende map op je iPhone:
/private/var/mobile/Library/LockBackground.jpg

Voor het verwijderen van het plaatje typ je in de Terminal het commando:
[code lang=”sh”]
rm -i /private/var/mobile/Library/LockBackground.jpg
[/code]
Op de vraag of je de afbeelding wilt verwijderen tik je ‘yes’.

Overigens: als je SBSettings hebt geïnstalleerd, let dan op dat SSH na elke reboot van je iPhone weer automatisch geactiveerd wordt. Op het forum kun je de oplossing hiervoor lezen en daar is – dankzij forumgebruiker CallMeMrPr ook de reactie van BigBoss te lezen waarom hier voor gekozen is.

Meer info: iPhoneclub Forum

Wij kunnen in ieder geval verzekeren dat iPhoneclub niets met de hack te maken heeft. Wij hebben wel betere methoden om aandacht te trekken.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 8 december 2008, 10:49
Categorie Achtergrond
Onderwerp exploit

Reacties zijn gesloten voor dit artikel.