image

iPhone worm zet jailbreakers in kwaad daglicht

dinsdag 24 november 2009, 13:31 door Redactie, 9 reacties

De uitbraak van de eerste echte iPhone worm heeft ervoor gezorgd dat veel mensen denken dat gejailbreakte iPhones standaard kwetsbaar zijn, terwijl dat helemaal niet het geval is, aldus Paul Durden van iPhoneclub.nl. De worm weet zich via het standaard SSH wachtwoord “alpine” naar binnen te wurmen. Het is echter de gebruiker die zelf SSH moet installeren. “Er is geen enkele jailbreakmethode die standaard (Open)SSH installeert. Gebruikers hebben na een jailbreak toegang tot de package installer Cydia, waarmee ze zelf (Open)SSH kunnen installeren als ze dat willen”, laat Durden in een interview met Security.nl weten. Hij waarschuwt dat deze gebruikers daarmee zelf de spreekwoordelijke deur voor kwaadwillenden openzetten.

Toch blijft het verwonderlijk dat mensen wel SSH installeren, maar vervolgens niet het standaard wachtwoord wijzigen. “Waarschijnlijk maken ze gebruik van verouderde handleidingen die ze ergens op Internet gevonden hebben. Sommige gebruikers maken van SSH in combinatie met WinSCP gebruik om over Wi-Fi bestanden over te zetten naar de iPhone.” Betere alternatieven zijn volgens Durden programma’s als iPhoneBrowser, DiskAid en de Windows Explorer extensie iPhone Folders. Die werken zowel sneller omdat ze via USB lopen en zijn veiliger voor beginnende gebruikers.

Vrijheid
Scott McIntyre van XS4ALL legde een deel van de verantwoordelijkheid bij Apple, omdat het bedrijf de noodzaak voor het jailbreaken zou moeten wegnemen. Gebruikers zouden zich met de standaard iPhone gevangen voelen. Critici merken op dat veel jailbreakers niet voor apps willen betalen en daarom tot het kraken overgaan. Volgens Durden is de voornaamste reden dat jailbreakers de vrijheid willen hebben om hun eigendom te gebruiken zoals zij dat zelf willen. Hij vergelijkt het met een laptop waarop een besturingssysteem geïnstalleerd staat waarop je geen toegang tot het Administrator- of root-account hebt.

“Als je software wilt installeren moet je maar hopen dat de software toe wordt gestaan door het bedrijf waarvan je de computer hebt gekocht; na een lange en ondoorzichtige procedure. Als de software tot inkomstenderving kan leiden van de producent of de zakenpartners ervan, weet je van tevoren dat de applicatie niet zal worden toegelaten (Google Voice) of alleen met allerlei beperkingen (Skype is bijvoorbeeld standaard alleen over Wi-Fi te gebruiken).”

Hij wijst ook naar Apple, dat zo goed en kwaad als het gaat de winst op de iPhone zou willen maximaliseren. “En dat gaat nu eenmaal ten koste van de vrijheid van de eindgebruiker.” Wat betreft de situatie met het installeren van illegale software, is die volgens Durden niet veel anders dan op een computer. “Als je volledige toegang tot je PC hebt, kun je ook illegale software installeren, maar ik denk niet dat veel mensen dat zouden noemen als de voornaamste reden waarom ze volledige toegang tot hun PC (en/of besturingssysteem) willen hebben. Bij vrijheid hoort ook de eigen verantwoordelijkheid om op een verantwoordelijke manier met die vrijheid om te gaan.” Eerder besprak Durden in dit artikel redenen om een iPhone of iPod te jailbreaken.

Wachtwoord
Wie OpenSSH installeert krijgt een waarschuwing om het standaard wachtwoord van het iPhone OS te wijzigen. “De maker van Cydia Jay Freeman heeft overwogen om gebruikers bij de installatie van OpenSSH te dwingen het wachtwoord te wijzigen, maar dit stuitte op bezwaren van een groep gebruikers die over het algemeen niet graag betutteld wordt”, laat Durden weten. Ook hij hoopt van harte dat Apple gebruikers volledige toegang tot hun iPhone of iPod touch geeft, maar dat lijkt een illusie. “Zolang er meer geld verdiend kan worden met het beperken van deze vrijheid zie ik dat zonder wetgeving die hen daartoe dwingt niet snel gebeuren.”

Doordat de media noemt dat alleen gejailbreakte iPhones kwetsbaar zijn, komt het imago van deze groep niet ten goede. “De indruk ontstaat daardoor al snel dat de schuldige in het verhaal de 'jailbreak' van de iPhone of iPod touch is; terwijl alleen het ondoordachte handelen van de eindgebruiker het risico heeft veroorzaakt”, merkt Durden op. “Omdat ik denk dat de toekomstige regelgeving met betrekking tot de balans tussen de belangen van de producent (in de zin van omzet/winst) en de vrijheid van de consument, vooral af zal hangen van hoe het kat-en-muis-spel in de praktijk verloopt, is het jammer dat de muis ten onrechte een slechte naam krijgt.”

Ongeschikt
Sophos greep het incident aan om te zeggen dat iPhones ongeschikt voor bedrijven zijn, omdat ze geen status informatie kunnen doorgeven, zowel bij de normale als gejailbreakte versie. Durden is het niet met de kritiek eens. “Ik zie de iPhone als een stukje hardware dat het beste te vergelijken is met een pocket computer. Als je de uitspraken van Sophos door zou trekken naar pocket computers en bijvoorbeeld laptops, zou het betekenen dat deze in principe allemaal ook niet veilig zijn voor gebruik in een bedrijfsomgeving.” Daarnaast is het wel eenvoudig om te achterhalen of een iPhone gejailbreakt is of niet, gaat Durden verder.

Naast het niet wijzigen van de SSH login, waarschuwen sommige critici dat het installeren van vreemde code op een apparaat met zoveel vertrouwelijke informatie niet verstandig is. De software die een gejailbreakte telefoon kan installeren wordt verspreid via repositories waar de software, net zoals bij Apple, ook wordt doorgelicht voordat deze beschikbaar wordt gemaakt. “Het verschil zit hem er vooral in welke software niet wordt toegelaten. Bij Apple is dit een lange lijst van beperkingen, bij de eigenaars van de repositories in Cydia is dit eigenlijk vooral beperkt tot software die schade toe zou kunnen brengen aan de iPhone of iPod touch van de eindgebruiker of software die het mogelijk maakt om gekraakte software te installeren (en dus schade doet aan de ontwikkelaars). Je zult dus in de standaard repositories van Cydia ook geen "warez" tegen komen.”

Het lijkt zelfs of “jailbreakers” in dit geval beter af zijn dan doorsnee AppStore gebruikers. Er zijn namelijk verschillende bedrijven die Apple’s online winkel gebruiken om zonder medeweten van de gebruiker allerlei persoonlijke informatie over hem of haar te verzamelen. Daarnaast stelde de maker van Cydia een applicatie beschikbaar genaamd "PrivaCy", die een opt-out voor het verzamelen van deze informatie mogelijk maakt.

Bewustzijn
Ondanks de “5 euro idioot” en Rick Astley malware, waren en zullen er nog ongetwijfeld nog voldoende gebruikers zijn die hun SSH login niet hebben aangepast. Mogelijk omdat ze niet weten dat de software is geïnstalleerd of hoe dit moet. “Security leeft niet echt bij de gemiddelde iPhone-gebruiker, net zoals dat security waarschijnlijk niet echt leeft voor de gemiddelde Windows-gebruiker.” Durden merkt op dat iPhone-gebruikers in dit geval nog de luxe hebben dat er weinig is om bezorgd over te zijn. “Maar het zelf installeren van een SSH-service zonder het standaard root-wachtwoord te veranderen is natuurlijk wel het andere uiterste.”

Apple heeft aangegeven dat het jailbreaking harder wil gaan aanpakken, wat gezien het aantal kwetsbare gebruikers misschien niet eens zo’n slecht idee is. Durden is echter faliekant tegen zo’n draconische maatregel. “Zoals gezegd is voor vrijheid ook een zekere mate van verantwoordelijkheid nodig. Ik zou er zeker geen voorstander van zijn om de vrijheid van velen vergaand te beperken, om onverantwoordelijk gedrag van weinigen te voorkomen.”

Volgens Durden leert de laatstgenoemde groep gebruikers op dit moment een harde les. “Maar uiteindelijk valt het risico dan ook onder hun eigen verantwoordelijkheid. De vrijheid van iedereen zou wat mij betreft zover moeten strekken als mogelijk is zonder inbreuk te maken op de vrijheid van een ander.”

Reacties (9)
24-11-2009, 14:37 door Anoniem
De afgelopen 3 dagen 5 nieuwsberichten over iPhone. Kan dat niet gewoon in 1 of 2 berichten? Een nieuwsbericht is niet onderscheidend van de andere als slechts 1 alinea anders is.
Leuk dat jullie korte lijnen hebben met Scotty van XS4all, maar je hoeft niet voor elke scheet een nieuwsbericht te plaatsen.
24-11-2009, 14:41 door SirDice
Wat ik me nu afvraag, is dat standaard root wachtwoord ook aanwezig op iPhones die niet gejailbreakt zijn? Of is dit echt iets wat tijdens het jailbreaken gebeurd? En dat mobile account?

(Ik heb geen iPhone dus ik kan het niet controleren)
24-11-2009, 14:46 door Anoniem
Het standaard wachtwoord alpine is ingebakken in iPhone OS voor de gebruikers root en mobile op alle iPhones en iPods touch. Het enige echte verschil is dat je met een iPhone die niet gejailbreakt geen OpenSSH kunt installeren en dat je dus ook niet snel last zal hebben van het feit dat er door Apple standaard wachtwoorden worden gebruikt voor deze accounts.
24-11-2009, 16:24 door Anoniem
Door SirDice: Wat ik me nu afvraag, is dat standaard root wachtwoord ook aanwezig op iPhones die niet gejailbreakt zijn? Of is dit echt iets wat tijdens het jailbreaken gebeurd? En dat mobile account?

(Ik heb geen iPhone dus ik kan het niet controleren)

Standaard is dit wachtwoord ook op een niet gejailbreakte iPhone ingesteld.

Het installeren van SSH gebeurt niet tijdens jailbreaken. Dit is iets wat de user zelf installeerd.
24-11-2009, 18:04 door SirDice
Door Anoniem:
Door SirDice: Wat ik me nu afvraag, is dat standaard root wachtwoord ook aanwezig op iPhones die niet gejailbreakt zijn? Of is dit echt iets wat tijdens het jailbreaken gebeurd? En dat mobile account?

(Ik heb geen iPhone dus ik kan het niet controleren)

Standaard is dit wachtwoord ook op een niet gejailbreakte iPhone ingesteld.

Het installeren van SSH gebeurt niet tijdens jailbreaken. Dit is iets wat de user zelf installeerd.
Dat laatste was me al duidelijk. Alleen zegt iets in mij dat dat standaard wachtwoord ook nog wel op andere manieren te misbruiken is ;)
24-11-2009, 19:17 door Anoniem
Door SirDice: Het installeren van SSH gebeurt niet tijdens jailbreaken. Dit is iets wat de user zelf installeerd.
Dat laatste was me al duidelijk. Alleen zegt iets in mij dat dat standaard wachtwoord ook nog wel op andere manieren te misbruiken is ;)[/quote]
Nee, op een standaard, gelockte, iPhone zijn niet de daemons aanwezig om rechtstreeks met het OS te communiceren. Het is pas wanneer je zelf de software installeert die toelaat om van buitenaf te connecteren dat er gevaar ontstaat.
24-11-2009, 20:02 door Anoniem
Volgens Durden is de voornaamste reden dat jailbreakers de vrijheid willen hebben om hun eigendom te gebruiken zoals zij dat zelf willen. Hij vergelijkt het met een laptop waarop een besturingssysteem geïnstalleerd staat waarop je geen toegang tot het Administrator- of root-account hebt.
De hardware mag dan je eigendom zijn, voor de software, het os op de iphone, en alle applicaties geld dat niet. Applicaties en os blijven in nagenoeg alle gevallen eigendom van de makers. Wat je koopt is het gebruiksrecht. Apple behoud zich zelfs het recht voor om bij misbuik het OS terug te vorderen! En dit geld ook voor eht OS (windows/mac) op je laptop
24-11-2009, 23:11 door spatieman
SSH op de iphone kan je ook simpelweg uit zetten, doh....
alleen gebeurt dat niet wegens gemak redenen..
25-11-2009, 10:47 door SirDice
Door Anoniem:
Door SirDice: Het installeren van SSH gebeurt niet tijdens jailbreaken. Dit is iets wat de user zelf installeerd.
Dat laatste was me al duidelijk. Alleen zegt iets in mij dat dat standaard wachtwoord ook nog wel op andere manieren te misbruiken is ;)
Nee, op een standaard, gelockte, iPhone zijn niet de daemons aanwezig om rechtstreeks met het OS te communiceren.
En hoe weet Anoniem 18:04 dan dat het wachtwoord hetzelfde is op een gelockte iPhone (wat mijn originele vraag was)?

Het is pas wanneer je zelf de software installeert die toelaat om van buitenaf te connecteren dat er gevaar ontstaat.
Dat begrijp ik maar ik vraag me af hoe het een en ander in elkaar zit op een 'standaard' iPhone.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.