Reacties voor: Nieuwe malware bouwt aan eerste iPhone-botnet
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Paul is vanavond afwezig, dus jullie zullen het even met mij moeten doen 😉
Wat ik me trouwens afvraag: als XS4ALL ongebruikelijke activiteiten meet, waarom merkt T-Mobile dan *helemaal* niks?
Verwijderde reactie.
Verwijderde reactie.
@Gonny: Gokje van mij: T-Mobile weet het dondersgoed, maar ze schamen zich dood omdat ze een halve maand geleden nog meldden dat ze het ‘lek’ zouden fixen. (M.i. is het niet hun verantwoordelijkheid, maar ok.)
Dit zijn volgens mij pogingen van Apple om jailbreaken tegen te houden.
Geruchten verspreiden en dergelijke.
@Sacul: Nou, ‘t is geen gerucht lijkt me. Of zouden F-Secure en XS4ALL volgens jou ook in het complot zitten?
@Gonny van der Zwaag: Ik denk dat T-Mobile geen Scott McIntyres in dienst heeft 🙂
Heel vervelend allemaal!
Wat ik me afvraag,hoe zit het met kpn klanten?
wat zijn nou nog de voordelen van SSH op je iphone te hebben? als je gewoon ifunbox of wat dan ook gebruikt om bestanden over te zetten, is een stuk veiliger en makkelijker.
@Nigel:Omdat ssh niet dient om bestanden te transfereren,maar om het toestel met ssh erop remotely zou kunnen bedient worden(op de shell weliswaar)
je kan ook bestanden verplaatsen ermee, dit gebeurt via sftp; een gewone ftp connectie in een ssh-tunnel(men kan je bestanden niet onderscheppen onderweg)
@patricia: Ik dacht dat die niet getroffen worden, omdat T-mobile iPhone gebruikers een IP-adres geeft, dat binnen een bepaalde “range” ligt. Ik ga ervan uit dat deze worm alle IP-adressen tussen deze range scant, om te kijken of ze ssh hebben. Bij kpn geven ze geen specifieke IP-adressen aan iPhones. (dacht ik)
Waarom T-mobile dit niet bekend maakt trouwens, lijkt me niet heel vreemd. De malware is nog maar twee dagen actief. In het begin misschien nog niet zo actief, halverwege dag 1 misschien wel. T-mobile ziet dit, gaat onderzoeken wat er aan de hand is, kijkt of en hoe ze dit kunnen oplossen. Ze zijn misschien nu nog aan het zoeken naar een oplossing. Het zou heel stom zijn om hier nu dan al mee naar buiten te komen, want dit zorgt voor slechte reclame. Als ze dit snel hadden opgelost, was er misschien geen haan geweest die er naar kraaide. Maar ja XS4ALL heeft het naar buiten gebracht.
Voor mensen die dit probleem ervaren, lijkt mij het slimste om een full restore te doen, en dan niet vanuit een oude back up. Als je hem weer jailbreakt, let dan op dat je meteen je SSH wachtwoord veranderd. Eerst misschien even mobiel internet uitlaten staan, tot je het wachtwoord veranderd hebt
Wat nou als je je iPhone helemaal naar fabrieksinstellingen herstelt?
@oentje13 : ook bij KPN kunnen ze last krijgen.
Als jij thuis KPN ADSL hebt.. en je iPhone gaat via je WiFi internet op.. dan zien ook zij ‘ongebruikelijke activiteiten’ ….
@Saied: Dan ben je er vanaf denk ik.. aangezien je hele iPhone dan gereset wordt. Hoe kan men anders niet zien dat je iPhone gejailbreaked was? 😉
Wat zijn ‘ongebruikelijke activiteiten’ ?
Daarbij is Xs4all een ISP in hart en nieren, iets wat T-mobile niet is…
Wellicht kwestie van ervaring ?
Het is wederom het verhaal m.b.t. die standaard ww…
Mensen moeten er gewoon niet aan beginnen als ze niet weten wat ze aan het doen zijn..
True, maar als jij een KPN abonnement bij je iPhone hebt, kan die worm niet raden wat je IP-adres van je iPhone is. Daarbij gaat die worm niet zomaar wat IP-adressen proberen.
Hmm maar als je de openssh eraf gedaan hebt van je iPhone ben je dus nog steeds kwetsbaar ten zei je de wachtwoorden verandert?
Zoiezo denk ik dat je tegenwoordig veel moet uitkijken als je ergens heengaat met je telefoon naar grote plaatsen waar veel mensen zijn.
Denk dat tmobile nog wel bezig zal zijn met een fatsoenlijke oplossing want om zomaar ff poorten dicht te zetten is natuurlijk ook geen oplossing. Ben wel benieuwd naar hoe dit nou allemaal in zijn werk gaat en hoe groot het risico is dat je kwetsbaar bent in het tmobile netwerk.
Ik ben bang dat ik geinfecteerd ben…Merkte al op dat de batterij een stuk sneller leeg raakte en mijn root pw is idd geen alpine meer…
Even snel SSH uitgezet…
Grote schuldige is Apple met zijn vaste wachtwoorden. SSH of geen SSH. Stel je voor dat ze hetzelfde doen met hun desktops.
OF je had dus niet moeten jailbreaken …
@ chea, te laat als je reeds geinfecteerd bent.
Ik zou zeggen een herstel via iTunes?
@ Zephyer
Mja, ik heb de processen nagekeken, en er draaien geen andere processen naast de standaard processen. Ik hou het erop dat een of andere mafketel het leuk vond om mijn std. pw te veranderen.
Heb ook Firewall IP geinstalleerd en daar kom ik ook geen gekke dingen tegen.
Greets,
Chea
Ok, het volgende vind ik net.. en weet dus niet of dit werkt.
Ik kan dus geen garantie geven etc. etc. maar lees dit eens door.
Het geeft aan hoe je op diverse manieren je ww kan veranderen ook al weet je deze niet.
JB gebruik ik enkel met Backgrounder. Voor de rest ben ik een trouwe Apple gebruiker.
Het is gewoon te gek voor woorden dat een *nix systeem een vast paswoord heeft voor root! Dat is om problemen vragen.
@Chea:
hetzelfde hier… hoop niet dat ik geinfecteerd ben, wel via een omweg root passwd gelijk veranderd..
Goed verslag, maar ik mis wel hoe xs4all deze zaak heeft kunnen ontdekken die zich toch bij Tmob op het netwerk afspeelt.
Gezien de achtergrond van xs4all is het wel serieus. Maar laten we niet in paniek raken.
Tmob kan toch een simpel tooltje (laten) maken dat de worm schoont, de passwords herstelt en de heren in Litouwen een prettige kerstwens nalaat ?
Ook ik heb hier last van gehad. De medewerker van xs4all vertelde mij dat het kwam omdat mijn iPhone via wifi het internet opging (en dus gebruik maakte van mijn xs4all verbinding).
Als oplossing heb ik maar een schone installatie van mijn iPhone gedaan, daarna jailbreak eroverheen en het openSSH wachtwoord gelijk gewijzigd.
Zelf heb ik niks gemerkt dat me iPhone iets erop had of dat het met rare dingen bezig was maar bij xs4all was het duidelijk op de log bestanden te zien.
Moet T-Mobile dit oplossen? ik zie niet in waarom.
De verantwoordelijkheid ligt bij de gebruiker. Als ik hier op mijn PC een virus/trojan heb wordt ik zonder pardon door xs4all afgesloten (en terecht). Laat T-mobile dat ook maar doen.
Bij gebruikers die dom genoeg zijn om te jailbreaken en ssh te installeren zonder het default wachtwoord te wijzigen mag wat mij betreft direct de internet pijp worden dicht geknepen.
En pas als ze bij T-mobile aan kunnen tonen dat hun iphone weer schoon is wordt de pijp weer open gezet.
En wil je een tool van T-Mobile om de zaak te cleanen? Dan betaal je er maar voor.
Just my 2 cents.
“De malware installeert meerdere bestanden” mogen we ff weten welke bestanden zodat iedereen ff kan controleren of die op zijn iphone voorkomen zodat we ook weten of we de sjaak zijn ?
Jailbreak verstandig? neem een worm.
Dat kan makkelijk. Mijn iPhone maakt thuis gebruik van mijn wifi netwerk en niet van het 3G netwerk om te internetten.
Lijkt me simpel. Gebruiker met een gehackte telefoon heeft ook een Xs4all abo en internet thuis of via een van de KPN accesspoint over zijn xs4all abo. En dat ziet Xs4all dan weer. Zo “zien” ze het.
Diepe diepe zucht. Ik word zo moe van dit soort mensen. Vanuit een soort morele superieuriteit blijven hakken op jailbreaken. Maar eigenlijk niet weten waar Abraham de mosterd vandaan haalt. Terwijl dit op deze site vaak genoeg is uitgelegd.
Dus zolang mensen dit soort onzin/ leugens verspreiden blijf ik er tegen aan schoppen.
1) Een jailbreak alleen veroorzaakt geen SSH beveiligingslek. Dus zeg 90% (eigen inschatting) van de gebruikers hoeft hier niet bang voor te zijn.
2) Alleen als je een vanuit Cydia (e.d.) een SSH client hebt geinstalleerd en je wachtwoord niet hebt aangepast ben je potentieel de klos.
Ik ben het met AvdVee eens! 🙂
Voor gejailbroken iPhones kun je het programma ‘SysInfoPlus’ (voor de zuinige gebruikers, JA het is g.r.a.t.i.s.) installeren. Bij tabblad ‘Process’ kun je controleren of er wellicht verdachte processen uitgevoerd worden. Bij tabblad ‘Network’ zou je kunnen controleren of er IP’s tussen staan die duiden op dataverkeer met een server in Litouwen.
Gebruik bijv. deze tool: http://www.ip2location.com/demo.aspx
@: thanks!
Wat mij opvalt: de telefoon van mijn vriendin is zegmaar de lul. Met sysinfoplus zie ik zo’n 30 connecties naar 1 reeks ip adressen. Op mijn eigen telefoon zie ik dat niet, maar wel steeds 1 adres in litouwen. Ik restore ze maar allebei denk ik.. En ik had volgens mij bij beiden het root password aangepast, maar niet van mobile. Dat laatste las ik vandaag voor het eerst. Ik ben overigens ook door xs4all afgesloten..
Dit heb ik gehad! Xs4all heeft mijn internet afgesloten en het probleem bleek mij de iphone te liggen!
Bjorn,
Kun je het IP adres plaatsen svp? Thx!
Ik heb een hele hoop us ip,’s erin staan, en deze uit Litouwen : 92.61.38.16
@Chea: Ik heb alleen een IP uiit litouwen, dus erg het vermoeden dat het bij mij nog in de prive data download fase is. Ik zet mijjn dataroaminng dus maar even niett meer aan (ik zit in het buiitenland op hett moment)
Yeah right… (zucht)
Inmiddels beide iPhones weer gerestored.. Wel een rotklus, maar goed, it had to be done.
Stom genoeg had bij mij de ‘root’ user geen standaard password meer. Alleen de ‘mobile’ user kennelijk wel. Die had ik even gemist.
Om nog even te reageren op alle ‘dan had je maar niet moeten jailbreaken’ en gerelateerde opmerkingen: Ik ben benieuwd wie van jullie niet kwaad wordt op de dief die je niet op slot gezette fiets jat.. ‘t blijft de dief die de kl**tzak is en niet degene die de fiets niet op slot zet! En ja, natuurlijk moet je als fietser/jailbreaker opletten, maar dat is nog geen excuus voor criminelen om daar misbruik van te maken!
Ik begrijp XS4ALL wel. De enige manier om een worm te stoppen is hem al zijn communicatiekanalen af te kappen. Wel lullig voor mensen dat hun hele internet er dan uit ligt, maar goed, effectief is het zeker. Aan de andere kant, blijft de bewuste geinfecteerde iphone “in the open” en dus bij contact met weer een ander wifi netwerk, gaat de worm weer vrolijk op zoek… Anyway, ik ben blij met dit artikel, want het drukt de onervaren jailbreakers nogmaals met de neus op de feiten. Kortste klap: restoren en dan ofwel geen ssh meer installeren, of linea recta je root en mobile password aanpassen, nog voor je ssh installeert. Succes, voor de getroffenen.
http://en.securitylab.ru/viruses/388014.php
Analyse van de worm, die kennelijk “iPhoneOS.IkeeB” heet
En als ik die source zie.. wat een ******* zeg:
echo “210.233.73.206 mijn.ing.nl”
>>/etc/hosts
BAH!!!
Ik heb mijn iPhone wel gejailbreaked, maar ik heb (naar mijn weten) geen SSH open staan. Loop ik dan ook gevaar?
Nee zolang je geen SSH geïnstalleerd hebt dan loop je geen gevaar!
Ik had ooit OpenSSH op mijn iphone geïnstalleerd, maar heb dat er toen na een dag of twee afgegooid. Ik had het paswoord niet gewijzigd.
Loop ik dan nog een risico? Hoe kan ik dat checken?
Een vriend van mij is niet zeker of hij OpenSSH op zijn iphone heeft staan. Dat is toch een pakket onder cydia?
Ik heb via Bossprefs SSH uitgezet. Nu loop ik dan toch geen gevaar?