Reacties voor: SSH-hack leidt tot diefstal van iTunes-accountgegevens
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Heb toentertijd (jaar geleden ofzo) contact gehad met T-Mobile, aangezien wij (@gonny) het gat al hadden ontdekt.
Helaas zag T-Mobile waarschijnlijk geen reden om poort 22 definitief te blokkeren.
Maar zoals reeds aangegeven in het artikel: Toch blijft het uiteindelijk de verantwoordelijkheid van de gebruiker.
Zit dus toch wel gevaar in jailbreaken, ook al is het indirect.
Ik installeer OpenSSH wanneer ik het nodig heb, zo niet dan pleur ik het er af. ‘t Schijnt batterij te schelen en zo niet, dan is het alsnog een kleine moeite.
T-Mobile moet ook helemaal niet poort 22 gaan blokkeren.. Dit is ook geen fout van T-Mobile. De enige die hier wat mee te maken heeft is Apple zelf vanwege het default root wachtwoord, maar waarschijnlijk is dat ergens voor nodig (wat het zeker nog niet goed praat om default wachtwoorden te gebruiken voor dit soort accounts, ondanks dat het account normaal niet te bereiken is) en op de 1e plaats de gebruiker die ssh installeert en de waarschuwing negeert.
Het zal in iedergeval weer veel telefoontjes, tijd en geld richting de T-Mobile helpdesk veroorzaken… Ik hoop dan ook van harte dat ze gewoon zeggen: “Sorry, dit is je eigen schuld! Doe een full restore en kijk de volgende keer beter uit. Tot ziens!”
En daarna niet vergeten om bij Apple een feature request in te dienen. Hoewel ze niet snel zullen afwijken van hun ideeën over hoe jij moet werken met de iPhone, maar proberen kan altijd natuurlijk 🙂
@SossieNL: Grappig inderdaad, je hebt toen mijn iPhone op verzoek gehackt 😉
Gelijk SSH erafgehaald mijn w8woord was nog steeds alpine 🙁
maar alles is deleted (ook van me comp)
als je zo gaat denken kan je je iphone wel weg doen. Er zit ook gevaar in browsen met safari, of attachments openen in emails etc etc
Haha ja, Een iPhone liggend op het bureau in Amsterdam een reboot gegeven vanuit mijn bureau in Emmeloord over Gprs!
Met Jailbreak kan je gewoon makkelijk ssh uitschakelen net als 3g etc etc zal zo ff kijken hoe progje heet op je iphone. Gewoon ssh uitscakelen en alleen inschakelen als je het even nodig hebt.
Sbsettings heet het progje en kan je vinden in de cydia store.
OpenSSH maar verwijderd (ik zit bij Vodafone, is het daar anders?). Is er een USB-connectie tool voor de Mac (dus iets als SSH maar dan via USB)?
Toggle SSH heb dit ook hier ook een YouTube filmpje: http://www.youtube.com/watch?v=xtTWJqxs2AU
Nee, vind ‘t vrij normaal dat ze bij T-mobile er niet van uitgaan dat de toestellen worden gejailbraked..
Dit is natuurlijk ook niet Apple’s schuld, er is niks aan de hand zolang je niet kloot met het apparaat. Als je dat wel doet, moet je zelf ook de verantwoordelijk willen dragen…
Zolang je je wachtwoord veranderd hebt is er niets gevaarlijks aan ssh.. Daarnaast heeft t-mobile hier niets mee te maken! De iPhone hoort namelijk geen ssh functionaliteit te hebben, dat je dit toch wilt is je eigen keus en verantwoordelijkheid
Hoezo Apple de schuld geven? JIJ jailbreakt en JIJ instaleerd Open ssh!
@Raimond: volgens mij niet, maar er is wel wifi 😉
of gewoon ff je password veranderen, poc
Ok h gelijk me hele ssh en terminal en weet ik het er afgehaald. Vind het best link nu. Ookal had ik me pass veranderd.
Hoe kan ik m’n telefoon beveiligen tegen SSH-hack? Ik heb OpenSSH op m’n iPhone staan…
Hoe kan ik dat wachtwoord “alpine” wijzigen?
je root-password veranderen
paar artikelen terug staat het uitgelegd.
best eng dit :p gelukkig heb ik niet al teveel geld :d
@PeterTe:
Lees eens goed! Ik geef Apple niet de schuld, ik geef alleen aan dat een default root wachtwoord niet handig is en dat er blijkbaar wel een goede reden voor is geweest, al zou ik niet weten wat.
Mijn zin wordt beter begrijpelijk als ik zeg: Een van de partijen die hier mogelijk wat mee te maken heeft is Apple zelf vanwege het default root wachtwoord….
Maar..
de gebruiker is juist de 1e verantwoordelijke in dit geval omdat je met een jailbreak+ssh moedwillig de beveiligingen gaat omzeilen.
Tevens zeg ik nergens dat ik mijn telefoon jailbreak. Ik ben tevreden met wat ik heb gekregen van Apple!
Je bent een runt als je met ssh stunt
geld dit ook voor Vodafone gebruikers
Ik zou alles doen om mijn €0,76 niet te laten jatten :P.
Net het wachtwoord toch maar even veranderd.
En als ik mijn iphone restore via itunes, is het wachtwoord weer normaal of hoe zit dat?
Dan is je ssh weer er vanaf
dit is slecht news voor jailbreak. (denk ik!!!)
dit heeft gevolgen voor apple mooie imago. stel dat dit in het headlines komt van CNN NOS RTL. “Hacker iPhone krijgt toegang tot logingegevens iTunes”. sjonnie en piet weten niet dat het alleen voor jailbreak geldt. en hierdoor loopt apple een slechte naam op. en apple kennende gaat ze hier vet harde maatregel nemen. en dat ze jailbreak onmogelijk gaan maken. logisch. dus slecht news voor jailbreakers enzo.
apple was al tegen jailbreak. nu is het 1 + 1 = 2
toch??? dus binnen kort een update voor iphone 🙂 3.1.3
T is ook echt kinderlijk eenvoudig om uit te voeren. Een hacker/cracker kan je zo iemand niet eens noemen. Als je je eigen iphone kan jailbreaken kan je dit ook.
Had uberhaupt niet verwacht dat tmobile inkomend verkeer zomaar zou toestaan. Maarja de verantwoording licht toch echt bij de eindgebruiker. Als je zo slim bent te jailbraiken moet je hier ook over nadenken.
Hoe zit het met SSL, is dat wel veilig om erop te laten staan?
icegodd, ik hoop eerder op iPhone OS 3.2 met een aantal nieuwe features.
Nee er zit een gevaar in het open zetten van login mogelijkheden voor de buitenwereld op wat voor apparaat dan ook. Bij systeembeheerders is het echter gemeengoed om alvorens zo’n machine aan het net te hangen de boel dermate te beveiligen dat root bijv. niet eens mag inloggen via ssh (standaard zo in FreeBSD maar niet in Debian/Ubuntu) en dat er goede veilige wachtwoorden worden gebruikt (dus geen fabriekswachtwoorden en makkelijk te achterhalen wachtwoorden). Vuistregel is dat zodra je ook maar iets open gooit voor de buitenwereld dat een security risico met zich mee brengt omdat iedereen er bij kan, dus ook de kwaadwilligen.
Je zult dus eerst moeten jailbreaken, daarna OpenSSH installeren en aanzetten. Er zijn zat howto’s, tutorials, forumposts, etc. die waarschuwen dat je als eerste alle standaard wachtwoorden moet vervangen. Zoals je hier ook al kunt lezen wordt dat klaarblijkelijk ook nog eens gedaan bij de installatie van OpenSSH. Je kunt daardoor dus absoluut niet meer spreken dat er niets gedaan wordt en dat de boodschap niet over is gekomen. Mensen moeten maar eens een keer dingen lezen. Dit soort zaken zijn niet voor normale gebruikers bedoeld maar voor systeembeheerders die inmiddels daar jarenlang voor zijn opgeleid en er ervaring mee hebben. Zij weten wat het is, waar ze mee bezig zijn en hoe ze er mee om moeten gaan in tegenstelling tot een gewone gebruiker. Die laatste zal zich dus echt goed op de hoogte moeten stellen wat een jailbreak is en doet en waar de gevaren schuilen (zoals in dit geval het installeren en activeren van OpenSSH zonder standaard wachtwoorden te wijzigen). Je zult dus research moeten doen.
T-Mobile bewegen om poorten dicht te gooien is een juridisch zeer lastige kwestie. In principe wijzigen ze hiermee hun dienst waardoor er wettelijk gezien het opzegrecht gaat gelden en mensen dus kunnen opzeggen. Ik hoef denk ik niet uit te leggen dat er nogal veel mensen hier om staan te springen en ze dus nogal wat leegloop krijgen (die Vodafone slim opvangt met hun iPhone abo). Daarnaast is er ook nog een stukje ethiek die meespeelt omdat het niet wenselijk is om internetverkeer te blokkeren en te filteren. De OPTA is inmiddels een onderzoek gestart naar de filterpraktijken van UPC. Derhalve is het ook niet raar dat T-Mobile denkt “bekijk het maar”. Daarbij moet je ook de vraag stellen of het wel zinvol is aangezien de gebruiker iets doet wat niet ondersteund wordt en wat niet de bedoeling is en waarbij alle waarschuwingen in de wind worden geslagen. Waarom zou je als bedrijf de verantwoordelijkheid van de gebruiker in kwestie over moeten nemen? Welke (juridische) risico’s en problemen kom je tegen als je dat wel doet?
T-Mobile verdient hier dus helemaal geen schop onder de kont. De gebruikers die alle waarschuwingen in de wind slaan verdienen een schop onder de kont (het inloggen onder een valse hoedanigheid (er is dus geen sprake van hacken) op de iPhone lijkt mij een voldoende schop onder de kont). Dat is dan weer wel iets waar je als bedrijf op in kunt spelen: persbericht de deur uit dat het probleem niet bij jou ligt, dat je het niet wenselijk vindt om poorten te blokkeren en dingen te filteren (wat ook niet lijkt te mogen) en dat gebruikers vooral niet dit soort dingen moeten doen omdat ze dan geen garantie en support meer hebben en zelfs afgesloten kunnen worden.
Dit is zo simpel je kan de mensen die dit doen niet eens hackers noemen. Als je een beetje met een PC kan omgaan kan je dit ook.
T valt mij mee dat dit nu pas naar buiten komt. Als je zo slim bent je telefoon te jailbraiken een SSH te installeren neem ik aan dat je ook snapt dat anderen net zo goed op je telefoon kunnen inloggen als je het wachtwoord niet veranderd.
Wat ik me afvraag: ik heb m’n telefoon wel gejailbreaked (Cydia), maar heb nooit iets van SSH geinstalleerd. Toch kan ik via m’n laptop moeiteloos op m’n telefoon komen als m’n telefoon en laptop op hetzelfde WiFi netwerk zitten. Kortom: ook als je SSH niet actief installeert, ben je kwetsbaar!
Ik gebruik m’n iPhone best vaak op andere WiFi-netwerken, bijvoorbeeld bij klanten met een open netwerk. Ook in zo’n geval kunnen anderen dus gewoon op je telefoon inbreken, ook wanneer SSH dus UIT staat of wanneer je het niet actief hebt geinstalleerd.
Misschien is het toch handig om hier nog eens een artikel met goede uitleg over te laten maken door Paul? Hij weet er veel van en kan het prima uitleggen voor leken 😉
ik heb ook geen SSL of SSH geinstalleerd. Maar toch heb ik de root en mobile wachtwoorden gewijzigd.
En wat jij zegt klopt volgens mij niet.
Voor de mensen, bron Tweakers.net
Omdat het fijn is om software zonder tussenkomst van Apple te installeren?
Kennelijk heb je je niet ingelezen, want een jailbreak heeft hier niet direct iets mee te maken. Dit lek onstaat pas als de volgende stappen allemaal worden gedaan:
1. men jailbreakt
2. men openSSH installeert
3. men het root wachtwoord niet verandert
4. men openSSH niet uitzet na gebruik
Alleen jailbreaken leidt dus niet tot een onveilige iPhone.
Nou ik heb via mobileTerminal me wachtwoord toch maar even verranderd.
Password veranderen is nog een listig klusje als je geen terminal-ervaring hebt. Eenvoudiger is om ‘Bossprefs’ te installeren via Cydia. Dan kan je SSH gemakkelijk uitschakelen (speciaal schuifje) en ben je safe.
@Chane: ik dacht zelf ook dat het niet mogelijk zou zijn, maar het is bij mij toch echt zo:
0. Heb m’n iPhone wel gejailbreaked
1. Ik heb geen aparte SSH-zaken geinstalleerd
2. Ik heb SSH UIT staan
3. Mijn iPhone is gewoon via WiFi zichtbaar en vanaf m’n laptop kan ik er gewoon op inloggen en bij alle data.
Kortom: ook al heb je SSH uit staan of niet geinstalleerd, dan ben je toch via elk WiFi-netwerk kwetsbaar zolang je je wachtwoorden niet wijzigt (wat ik natuurlijk wel allang heb gedaan).
Voor de volledigheid: je moet 2x een wachtwoord wijzigen, voor de users ROOT en voor MOBILE. Pas dan ben je echt veilig.
Uitzetten van SSH is dus niet voldoende, zodra je ergens (per ongeluk) inlogt op een open WiFi kun je al gehackt worden.
@Martijn: SSH uitzetten is dus NIET voldoende, als je ooit een keer gebruik maakt van een WiFi (school, congres, bij een klant) ben je dan nog steeds zichtbaar en kwetsbaar.
@Ellen: Dit lijkt mij sterk: Ook bij WiFi netwerken is SSH het protocol waarmee je met de iPhone communiceert. Zonder SSH kan je geen contact krijgen met een iPhone. In ieder geval niet met het systeem. Er zit ook iets raars in je verhaal: Hoe weet je dat SSH uitstaat als er geen SSH zaken zijn geïnstalleerd? Ik denk dat SSH toch aanstond maar dat je het niet wist.
inderdaad vreemd!
@Ellen: Het kan zijn dat Apple File Sharing (AFP) aan staat. Je kan dan via de Finder met Appeltje-K een verbinding maken met je iPhone. Ik weet niet of je dan het hele systeem kan zien of dat alleen een gedeelte zichtbaar wordt.
ik zet ssh altijd alleen aan als ik het nodig hebt, daarna zet ik het gelijk weer uit met sbsettings 🙂
Root ww heb ik ook veranderd en zit bij kpn HI, dus denk niet dat ik gevaar loop :p
Moet je je iPhone maar niet jailbraken net goed !
@Martijn: In SBsettings heb ik SSH uit staan en ik heb nooit iets van SSH bewust geinstalleerd. Blijkbaar is m’n iPhone zonder dat ik het me bewust ben toch toegankelijk voor vreemden. Ik snap nog steeds niet waarom hij via WiFi zichtbaar is.
Mijn iPhone is nu wel veilig (passwords zijn aangepast), maar ik wil anderen goed waarschuwen. Uitzetten van SSH in SBsettings is niet voldoende om je te beschermen tegen inbraak.
@Ellen: Zoals eerder gezegd: AFP. Dit kan je ook installeren als je een jailbreak hebt uitgevoerd. Je iPhone wordt dan zichtbaar op het netwerk. Zie ook: http://modmyi.com/wiki/index.php/AFP_iPhone_from_Finder
@Shorty007
Eh, met SBSettings kun je toch alleen de toggle aan en uit zetten ?
Ik zie geen verschil tussen dat schuifje aan of uit in SB.
mensen mensen… zet gewoon de SSH toggle in SBsettings uit…………………………?
Korte handleiding: Check eerst via Instellingen>WiFi>Jouw WiFi netwerk wat het IP adres is van je iPhone. Open op je Mac Cyberduck of een ander FTP programma. klik: Open Connection>soort: SSH vul in bij server: je IP adres en bij user en pass de bekende gegevens root en alpine. klik connect. krijg je een verbinding? dan staat SSH open. Wil je dit stoppen? Log uit. Installeer Bossprefs via Cydia. Zet het schuifje SSH uit. Probeer opnieuw verbinding te maken met Cyberduck… lukt niet meer. Pfffff saved!
Dan ben je dus juist niet safe! Het hoofdprobleem zit hem nou in het feit dat je standaard wachtwoorden gebruikt. Overigens is het ook helemaal niet listig om wachtwoorden via de terminal te veranderen. Het staat op diverse plekken netjes uitgelegd en behelst niet veel meer dan passwd waarna je netjes 2x het wachtwoord invoert. Als je tekst kunt tikken dan kun je wachtwoorden wijzigen 🙂 Je moet het niet moeilijker voor gaan doen dan het is.
Macs maken veel gebruik van bonjour om op het netwerk waarop ze zitten te verkondigen wat ze aan services hebben (bestandsdeling, schermdeling, etc.). Het kan zijn dat door het jailbreaken je nu ook iets hebt dat bonjour gebruikt om zijn bestandsdelingsservice te verkondigen op het netwerk (een app als Airsharing doet dat, maar die heeft geen Jailbreak nodig). Afgezien hiervan zullen zowel Windows als MacOS X scannen of er machines zijn die bestandsdeling aan hebben staan om je die vervolgens te laten zien (gebeurt overigens zonder gebruik van bonjour, doet Windows standaard niet aan). Ik zou eens opzoek gaan naar apps die iets met bonjour en/of bestandsdeling (smb/cifs, afp) doen.
@ppl: je hebt helemaal gelijk. Netatalk was de boosdoener. Doordat ik dat heb geïnstalleerd is de iPhone continu op m’n Mac zichtbaar.
Nou goed, het kon niet veel kwaad omdat ik m’n wachtwoord heb veranderd, maar het is wel goed om te weten waardoor de telefoon zichtbaar is. Dus voor dummy’s zoals ik: let op wat je op je telefoon zet (alleen SSH uitzetten is niet genoeg) of verander gewoon direct je wachtwoord.
@ppl en Martijn: wachtwoord veranderen vond ik nou juist heel simpel. Als je Mobile Terminal op je iPhone neerzet, is het inderdaad een kwestie van wat zinnetjes intypen en dan ben je klaar. 🙂
Simpel installeer TokkleSSH (Cydia) en zet ‘m alleen aan al je het nodig hebt, het is geen fancy app maar werkt wel (gechecked met WinSCP vebinding..het is een app gemaakt voor 2.2.1. maar werkt op 3.1.2 ook..