32 μηνύματα σε αυτό το θέμα

[nmout]

http://gizmodo.com/5...-vulnerability'>Dutch Hacker Holds Jailbroken iPhones Hostage For €5 Ransom While Exposing Security Vulnerability

 jailbroken_iphone_hacked_intro.jpg   89,74KB   49 λήψεις

[MaxII]

πως αλλαζω το root password......με επιασα αδιαβαστο

Αν και νομιζω οτι εδω στην Ελλαδα δυσκολο να παθεις τετοια "ζημια"...καλο ειναι να ξερω πως γινετε.

[nmout]

εγω εχω κλειστο το ssh απο το sbsettings
το ανοιγω μονο οταν κανω καποια δουλεια

Τελευταία επεξεργασία από: nmout, 03/11/2009 - 11:46

[computeras]

Μπορείτε να βρείτε την λύση εδώ. Το έκανα ξεχωριστό topic για να το δουν περισσότεροι

[GiannisR]

Σε μεγάλο μπελά έχουν μπει πολλοί που "έσπασαν" το Iphone τους για να μπορεί να δέχεται εφαρμογές τρίτων στην Ολλανδία. Χάκερ έχει αποκτήσει πρόσβαση σε όσους ξέχασαν να αλλάξουν τους κωδικούς τους και τώρα ζητάει απο τον καθενα 5 ευρώ, να του τα στείλουν με Paypal.

Δεν έχει γίνει γνωστό πόσο έχουν πέσει θύμα αυτής της σύγχρονης ομηρίας αλλά το θέμα εχει προκαλέσει μεγάλη ανησυχία σε όσους έχουν "σπάσει" το Iphone τους, που υπολογίζεται οτι ειναι περίπου του 10% όσων το έχουν αγοράσει.

Τελευταία επεξεργασία από: GiannisR, 03/11/2009 - 21:14

[omersub]

τι εννοεί ο ποιητής;

[computeras]

Λοιπόν για να καταλάβουμε πως έγινε αυτό. Καταρχάς αφορά ΜΟΝΟ jailbroken iphones οπότε όσοι δεν το έχετε μην ανησυχείτε.

Από την στιγμή που "σπάτε" το κινητό σας, και περνάτε το OpenSSH από Cydia αυτό δημιουργεί έναν λογαριασμό με όνομα root και κωδικό alpine. Αυτός ο λογαριασμός λοιπόν έχει πλήρη δικαιώματα στο filesystem του iphone άρα όποιος ξέρει τους κωδικούς (όλοι δηλαδή) μπορεί να συνδεθεί και να κάνει ότι μα ότι θέλει από την στιγμή που έχετε ανοιχτό SSH και WiFi.

Για να αποτρέψουμε αυτή τη διαδικασία τι κάνουμε λοιπόν;!

Πρώτα απ' όλα αλλάζουμε τον κωδικό του root, δηλαδή το alpine, με κάτι άλλο (ότι θέλουμε εμείς).

Οδηγίες για το πως γίνεται αυτό υπάρχουν εδώ.

Δεύτερον φροντίζουμε κατά κύριο λόγο να έχουμε κλειστό το SSH (και για να αποφύγουμε επιθέσεις αλλά και γιατί τρώει μπαταρία) και να το ανοίγουμε μόνο όταν πραγματικά το χρειαζόμαστε.


ΥΓ: Προσπάθησα να τα εξηγήσω όσο πιο απλά μπορούσα. Αν κάπου δεν καταλάβει κάποιος κάτι ας ρωτήσει για να το θέσω αλλιώς.

[peterboutsis]

^^^
αψογος αδερφε!

[gimis69]

άρα όποιος ξέρει τους κωδικούς (όλοι δηλαδή) μπορεί να συνδεθεί και να κάνει ότι μα ότι θέλει από την στιγμή που έχετε ανοιχτό SSH και WiFi.

Αν κατάλαβα καλά ο hacker πρέπει να βρίσκεται κάπου κοντά για να μπορέσει να συνδεθεί μέσω ssh kai wi-fi, και να κάνει ότι θέλει αλλιώς πως μπορεί να συνδεθεί??

[kdelios]

Σε μεγάλο μπελά έχουν μπει πολλοί που "έσπασαν" το Iphone τους για να μπορεί να δέχεται εφαρμογές τρίτων στην Ολλανδία. Χάκερ έχει αποκτήσει πρόσβαση σε όσους ξέχασαν να αλλάξουν τους κωδικούς τους και τώρα ζητάει απο τον καθενα 5 ευρώ, να του τα στείλουν με Paypal.

Δεν έχει γίνει γνωστό πόσο έχουν πέσει θύμα αυτής της σύγχρονης ομηρίας αλλά το θέμα εχει προκαλέσει μεγάλη ανησυχία σε όσους έχουν "σπάσει" το Iphone τους, που υπολογίζεται οτι ειναι περίπου του 10% όσων το έχουν αγοράσει.

Δεν είναι ακριβώς "ομηρία" όπως λες...



"Though jailbreaking an iPhone certainly opens up opportunities to add functionality that Apple doesn't approve of, it can also make an iPhone less secure. Several Dutch iPhone users found that out the hard way after a hacker attacked a number of vulnerable phones on T-mobile Netherlands and tried to extort €5 from them.

It appears one enterprising Dutch hacker used port scanning to identify jailbroken iPhones on T-mobile Netherlands with SSH running. Enabling SSH is a common procedure for jailbroken iPhones, allowing a user to log in via Terminal and run standard UNIX commands. Unfortunately, iPhones all have a default root password that many forget to change after jailbreaking, leaving their phone as vulnerable as a Lamborghini parked on a public street with the windows down, the doors unlocked, and the keys in the ignition.

The hacker relied on unchanged root passwords to hack into the phones. He then sent what appears to be an SMS alert to the hacked phones (in reality it's a replaced wallpaper) that read, "You iPhone's been hacked because it's really insecure! Please visit doiop.com/iHacked and secure your iPhone right now! Right now, I can access all your files." Going to the website directs the user to send €5 to a PayPal account, after which the hacker will e-mail instructions to remove the hack—which most likely involve restoring the iPhone to factory settings.

The hacker doesn't appear to have malicious intent, other than to glean some extra cash. "If you don't pay, it's fine by me," reads the page mentioned in the message to the hacked iPhone owners. "But remember, the way I got access to your iPhone can be used by thousands of others—they can send text messages from your number (like I did), use it to call or record your calls, and actually whatever they want, even use it for their hacking activities! I can assure you, I have no intention of harming you or whatever, but, some hackers do! It's just my advice to secure your phone."

An Ars reader familiar with computer security let us know that security researchers have done similar port scanning in the past, and downloaded users' SMS databases as a "proof of concept." However, this is the first time that it seems the technique has been used in the wild. It's worth noting that the technique is fairly trivial and could be done by anyone with even a modicum of networking know-how.

The incident highlights the fact that jailbreaking removes the security mechanisms that Apple has in place for the iPhone OS—which are as much about securing the device against hackers as they are about preventing "unauthorized" applications. If you do jailbreak, then the onus of security is on you, so be sure to change the root password to something other than the default. You can also disable the SSH daemon when not in use to prevent this particular attack from happening to you.

UPDATE: It appears the young hacker has had a change of heart on the money issue, and posted instructions for undoing what he did to several Dutch iPhone users. According to a commenter below, he has also apologized for asking for money and returned whatever ill-gotten gains he received from his stunt. However, that doesn't mean someone else couldn't pull the same trick and just not tell you about it. So for goodness sake, if you jailbreak and do things like leave an SSH daemon running, change the default passwords."

source

[Tsopanos]

Παλιά είχες πόρτα ασφαλείας και κοιμόσουν ήσυχος.

Τώρα την αντικατέστησες με κοινή ξύλινη, αλλά σου συστήσαν να μην ξεχάσεις να αλλάξεις κλειδαριά, καλού κακού

Θα πρέπει να έχουμε πάντα υπόψιν μας ότι τα ανεκτίμητα οφέλη του jailbreaking έχουν ένα σοβαρό τίμημα. Την ασφάλεια.

[computeras]

Αν κατάλαβα καλά ο hacker πρέπει να βρίσκεται κάπου κοντά για να μπορέσει να συνδεθεί μέσω ssh kai wi-fi, και να κάνει ότι θέλει αλλιώς πως μπορεί να συνδεθεί??

Κατά κύριο λόγο ναι, πρέπει να είναι κάπου κοντά αλλά αυτό δεν είναι απαραίτητο. Υπάρχουν πολλοί τρόποι για να μπει κάποιος σε ένα δίκτυο (ειδικά αν δεν έχει μεγάλη ασφάλεια) και να βλέπει τι γίνεται εκεί. Μπορείς για παράδειγμα να μπεις σε ένα δίκτυο στην Αμερική και να δεις τι υπολογιστές έχει. Γενικώς το διαδίκτυο έχει αρκετές τρύπες ασφαλείας, που έχουν καλυφθεί μεν αρκετές αλλά και πάλι υπάρχουν κάποιες.

Γι' αυτό, προσοχή και όχι μόνο στον iphone αλλά και γενικώς στους υπολογιστές σας για το ποιον εμπιστεύεστε και τι είναι αυτός.

[PoluxGreece]

με ένα απλό restart δεν χάνει την πρόσβαση ο hacker; ή αν κλείσουμε το ssh;

[computeras]

Το θέμα δεν είναι να έχεις συνεχή πρόσβαση. Για να σου κάνει αυτό το πράγμα που εμφανίζεται στην εικόνες από την στιγμή που θα βρει iphone και μπορέσει να συνδεθεί, είναι υπόθεση δευτερολέπτων να φέρει αυτό το αποτέλεσμα. Μετά αποσυνδέεται από το iphone και τέλος

Συνδέεται, τρέχει ένα αυτοματοποιημένο script που κάνει όλα αυτά που θέλει αυτόματα και τέλος.


ΥΓ: μου έδωσε καταπληκτική ιδέα για χοντρές φάρσες σε iphone... Μια μέρα αν βρω χρόνο θα κάτσω να κάνω ένα script που να κάνει αυτό που έχω στο μυαλό μου.

[PoluxGreece]

είσαι έλεος απλά ...άσε τα παιδία ύσηχα...