Actief misbruik van iPhones met SSH (jailbreak)

In de nacht van zondag op maandag heeft iemand misbruik gemaakt van SSH om zich toegang te verschaffen tot een aantal iPhones waarop OpenSSH was geïnstalleerd. We leggen niet alleen uit wat het probleem is, maar ook hoe je jezelf kunt beschermen.
Paul Pols - · Laatst bijgewerkt:

WaarschuwingEerder vandaag ontvingen wij berichten van een aantal gebruikers dat zij het slachtoffer waren van het kapen van hun iPhone. Het blijkt te gaan om iPhones waarop SSH geïnstalleerd staat zonder dat het standaard wachtwoord is gewijzigd. Zou deze beschrijving ook op jou van toepassing kunnen zijn? Dan is het uitermate belangrijk dat je dit artikel goed doorneemt.


Het netwerkprotocol SSH (Secure Shell) is ervoor bedoeld om op een veilige manier een netwerkverbinding tussen twee apparaten tot stand te brengen. Veel iPhone-gebruikers maken van de gratis implementatie OpenSSH gebruik voor toegang tot het bestandssysteem van hun iPhone. Daarnaast zijn er een aantal programma’s die OpenSSH automatisch installeren. Sommige gebruikers vergeten daarbij echter om het standaard wachtwoord alpine te wijzigen, waardoor het opeens voor een veel groter publiek mogelijk is om met behulp van SSH op de iPhone in te loggen. Tot slot zet SBSettings na het herstarten automatisch alle ingestelde toggles aan, waar SSH zich ook onder kan bevinden. Aangezien de iPhones bij T-mobile binnen een beperkte IP-range worden ingedeeld is het daardoor een koud kunstje om op kwetsbare iPhones in te loggen. In het verleden hebben we daarom ook op het risico van SSH gewezen.

Hieronder zullen we stap voor stap aangeven hoe je ervoor kunt zorgen dat je niet kwetsbaar bent voor een dergelijke aanval. Controleer eerst in Cydia of je inderdaad OpenSSH of een variant daarop geïnstalleerd hebt op je iPhone. Ben je één van de circa zeventig slachtoffers van het misbruik van vandaag, voer dan de volgende instructies uit om de gemaakte wijzigingen te verwijderen. Heb je wel OpenSSH, maar heeft daar (nog) niemand misbruik van gemaakt, lees dan onder deze instructies het stappenplan om het wachtwoord alsnog aan te passen.

  1. Log via SSH (bijvoorbeeld met PuTTY) in op je iPhone (met gebruikersnaam root en het standaard wachtwoord alpine) Je kunt ook gebruik maken van MobileTerminal direct op je iPhone.
  2. Voer de volgende commando’s uit gevolg door enter:
    • chown mobile /private/var/mobile/Library/LockBackground.jpg
    • chmod 666 /private/var/mobile/Library/LockBackground.jpg
    • mv /private/var/mobile/Documents/LockBackground.backup.jpg
      /private/var/mobile/Library/LockBackground.jpg
    • rm /System/Library/LaunchDaemons/com.apple.syslog.plist

Wil je gebruik (blijven) maken van OpenSSH, dan is het uitermate belangrijk dat je het wachtwoord van de gebruikers root en mobile wijzigt. Dit kun je als volgt doen:

  1. Log via SSH (bijvoorbeeld met PuTTY) in op je iPhone (met gebruikersnaam root en het standaard wachtwoord alpine). Je kunt ook gebruik maken van MobileTerminal direct op je iPhone.
  2. Voer de volgende commando’s uit gevolgd door enter:
    • Alleen bij gebruik MobileTerminal: su root
    • alpine
    • passwd
    • Desgevraagd het oude wachtwoord: alpine
    • eennieuwwachtwoord
    • eennieuwwachtwoord
  3. Vervolgens herhaal je beide stappen voor de gebruiker mobile met hetzelfde wachtwoord. Let op: als je op een later moment update naar een nieuwe firmware en vervolgens opnieuw een SSH-variant installeert, zul je opnieuw de wachtwoorden moeten wijzigen!

In de berichtgeving op sommige andere websites wordt de term hacker gebruikt voor de omschrijving van de dader. Aangezien er ingelogd wordt met een standaard wachtwoord en er dus niets wordt gehackt, lijkt gebruik van deze term ons hier niet op zijn plaats. Wel is er sprake van strafbare handelingen; computervredebreuk en eventueel afpersing of afdreiging.

De dader heeft in communicatie met ons aangegeven spijt te hebben van zijn actie en zeer geschrokken te zijn van de reacties. De link naar zijn Paypal-account is inmiddels verdwenen en vervangen door instructies om de gemaakte modificaties ongedaan te maken. Daarnaast heeft de dader aan iPhoneclub.nl beloofd dat hij de ‘donaties’ die gedaan zijn via Paypal terug te storten, zodra hij weer toegang heeft tot zijn account (die momenteel under review is). Tot slot heeft hij geholpen om de instructies die hierboven bij stap 1 en 2 vermeld staan samen te stellen. Met behulp van deze instructies zal ook de achtergrond weer in de originele toestand worden hersteld.

Ter afsluiting van dit artikel willen wij erop wijzen dat het niet de bedoeling is dat er in de reacties persoonlijke informatie van de dader wordt geplaatst; we zijn iPhoneclub.nl en niet Geenstijl.nl. Ook willen we erop wijzen dat (Open)SSH niet standaard wordt geïnstalleerd tijdens het jailbreaken en dat er dus ook geen causaal verband tussen jailbreaken en de in dit artikel genoemde risico’s bestaat. Voor meer hulp kun je terecht op het forum.

Met dank aan de vele tipgevers.
Foto spotlight: CC :ray

Reacties: 91 reacties

Reacties zijn gesloten voor dit artikel.