SSH-hack leidt tot diefstal van iTunes-accountgegevens

Een zeker McFliatn is meteen aan de slag gegaan toen de SSH-hack weer in de publiciteit kwam. Hij achterhaalde de inloggegevens van zo'n veertig kwetsbare iPhones.

itunes wachtwoordSinds gisteren is de iPhone SSH-hack weer volop in het nieuws. Veel websites schreven over “gegijzelde iPhones”, zonder uit te leggen hoe je het leed zou kunnen voorkomen. Blijkbaar heeft dat opnieuw mensen op gedachten gebracht om eens op de iPhone van een ander te gaan rondsnuffelen, want vandaag is er alweer het volgende incident. Een zekere McFliatn heeft zich dinsdagochtend via de SSH-hack toegang verschaft tot zo’n veertig kwetsbare iPhones. Hij kreeg daarbij gebruikersnaam en wachtwoord van de iTunes-accounts in handen.


Daarmee is hij in staat om voor flinke bedragen aankopen te doen in de iTunes Store, omdat veel accounts zijn gekoppeld aan een creditcard of een Click ‘n Buy-account. Volgens McFliatn is het mogelijk om geautomatiseerd de gegevens van de iPhone te halen.

Zoals we gisteren al uitlegden staat je iPhone bloot aan de SSH-hack als je een jailbreak uitvoert en daarbij een tool als OpenSSH installeert, zonder het rootwachtwoord te veranderen. Omdat een inbreker weet wat het standaard rootwachtwoord is en weet welke vaste reeks van IP-adressen T-Mobile gebruikt, is het eenvoudig om een kwetsbaar toestel te vinden. Veel gebruikers slaan de aanbeveling om het rootwachtwoord te wijzigen in de wind, terwijl daar bij de installatie van OpenSSH wel op wordt aangedrongen.

De motivatie van McFliatn is dat hij T-Mobile wil aanzetten tot betere beveiliging. Ze moeten “het personeel op de ict-afdeling eens een flinke schop onder de kont verkopen”, meent hij. Toch blijft het uiteindelijk de verantwoordelijkheid van de gebruiker om zijn of haar root-wachtwoord ook zelf aan te passen als OpenSSH wordt geïnstalleerd.

Meer info: Actief misbruik van iPhones met SSH [jailbreak]
Via: Tweakers

Reacties: 49 reacties

Reacties zijn gesloten voor dit artikel.