Hakowanie iPhone część 22

                9 listopada 2009 o godzinie 13:25, w kategorii Jabłuszka.

Przy okazji porad odnośnie hakowania iPhone z softem 1.1.1 – jakieś dwa lata temu, ależ ten czas leci! – pisałem: Wyłączajcie OpenSSH kiedy go nie używacie! (…) cały świat zna hasło roota. Jeżeli więc będziecie chodzić z odpalonym SSH w kieszeni to teoretycznie każdy kinderhaker na ziemi będzie mógł się dostać na waszego iPhona i solidnie narozrabiać. (Wtedy jeszcze nie dało się go zmienić). Przypominałem o tym właściwie w każdym kolejnym odcinku tej jailbraekowej mydlanej opery: Jeśli instalujecie SSH pamiętajcie o tym by bezwarunkowo zmienić hasło roota. W innym wypadku praktycznie każdy będzie mógł zdalnie zalogować się na wasz telefon i podejrzeć wszystkie wasze dane… No i wreszcie stało się! Przed paroma dniami odkryto pierwszego iphonowego robaka, który skutecznie wykorzystuje tę beztroskę. Na szczęście program nie jest złośliwy – zamiast kasować wasze dane czy podmieniać ustawienia operatora instaluje tylko własną tapetę z Rickiem Astleyem. To tylko ostrzeżenie. Złośliwy żart. Nie wolno go jednak bagatelizować!

Tym bardziej, że nie jest to pierwszy atak na użytkowników jailbrekowanych iPhonów. Parę dni temu pewien cwaniaczek z Holandii zbierał po 5€ okupu od użytkowników sieci T-Mobile wykorzystując dokładnie ten sam mechanizm. Wprawdzie oba te przypadki wykorzystują niewiedzę i niefrasobliwość użytkownika a nie słabość oprogramowania niemniej socjotechnika to bardzo skuteczna metoda ataku. Bez popadania w przesadę można też założyć, że z czasem będzie ich więcej – iPhoneOS to system pracujący obecnie na plus minus 50 milionach urządzeń, zawierających cenne informacje: numery telefonów, hasła i loginy do różnych usług – w tym także finansowych! – numery kart kredytowych i Bóg wie co jeszcze. Nie bez znaczenia jest też możliwość przekierowywania połączeń na płatne numery oraz oczywiście rozgłos jaki przynosi spektakularny atak na popularne urządzenie. Co więcej, potencjalne zagrożenie nie dotyczy tylko jailbrekowanych telefonów – dziury wykryte przez środowisko jailbrekowców równie dobrze mogą przydać się w innych celach – nieprawdaż?

Oczywiście nie ma powodu do paniki. Na razie nic wielkiego się nie stało – oba opisywane przypadki nie stanowią poważnego zagrożenia a zabezpieczenie się przed takim atakiem jest banalne. Warto mieć jednak świadomość że niefrasobliwość, korzystanie z łatwo dostępnych gotowców czy różnych dziwnych porad oraz rzucanie się na głęboką wodę i robienie jailbreaka mimo, iż nic o nim nie wiemy nie popłaca. Cała ta procedura – choć prosta i dostępna każdemu laikowi – to coś znacznie więcej niż tylko głupie klik-klik. Modyfikacja oryginalnego oprogramowania zawsze naraża nas na jakieś ryzyko – i nie chodzi tu nawet o jakieś celowe działanie – po prostu może zawierać błędy, wymaga też wiedzy i świadomości konsekwencji jakie niesie za sobą taka ingerencja. Hakowanie to nie jest zabawa! Ładne kolorowe ikonki w PwnageTool, poradniki krok po kroku tłumaczące gdzie na klawiaturze jest spacja i tym podobne ułatwienia to tylko wierzchołek góry lodowej – i nie wolno o tym zapominać! To po prostu szkodzi… A jeśli macie zjailbrekowanego iPhona i zainstalowane OpenSSH koniecznie zmieńcie hasło roota! Robi się to za pomocą komendy passwd. To bardzo proste. I niezbędne!