Iphone Hacked? [ph0n3r.h4ckrs - Oplossing door sjowol op pag.2!]

[InternetRebel]

Aanvullende zou ik als "advies" ook willen geven; check ALLES wat er in je mail, SMS en Notes e.d. staat aan wachtwoorden, pincodes, etc. etc. etc. En pas alles aan!!!

Berg werk misschien voor sommigen, maar stel dat je de toegangscode voor je online banking hebt laten SMS-en of iets dergelijks. Wie zegt dat deze hacker niet meteen alle SMS, mail en andere SQLite databases van de iPhones geript heeft!

@Raggamannn: Ik praat niets goed, maar hackers KUNNEN ook een positieve bijdrage leveren met dit soort "stunts". Doordat ze er zijn, zijn fabrikanten van soft- en hardware zich er goed van bewust dat ze de boel goed moeten beveiligen.

__________________
...

[maxx001]

Ik heb vandaag de plaatjes gekopieerd via ssh naar mijn computer. Het waren bij mij 2 bestanden nl.

LockBackground.jpg en
ph0n3.h4ck3r@gmail.com.jpg

Ik weet niet of het toegestaan is deze bestanden hier te posten, als dit het geval is wil ik dit uiteraard best doen.

Maxx

[fabie1]

Citaat:

Oorspronkelijk geplaatst door marcopeele

@fabian,

excuses aanvaard, het originele plaatje staat nu op de voopagina van ipc

Dit is niet het originele plaatje, die is alleen een screenshot, het officiele PNG, JPG, GIF of wat dan ook bestandje is nodig. Dit is dus alleen te krijgen door het via ssh te downloaden van de iPhone. Anders staat de EFIX info er niet in.

[iScorpio]

Citaat:

Oorspronkelijk geplaatst door maxx001

Ik heb vandaag de plaatjes gekopieerd via ssh naar mijn computer. Het waren bij mij 2 bestanden nl.

LockBackground.jpg en
ph0n3.h4ck3r@gmail.com.jpg

Ik weet niet of het toegestaan is deze bestanden hier te posten, als dit het geval is wil ik dit uiteraard best doen.

Maxx

De afbeeldingen mag je hier best plaatsen.

__________________

PB's met vragen worden niet beantwoord, post deze op het forum!

[maxx001]

Citaat:

Oorspronkelijk geplaatst door scorpiosoft

De afbeeldingen mag je hier best plaatsen.

Bij deze voeg ik ze hierbij toe. In de rar file zitten beide bestandjes ook nog eens.

Bijgevoegde afbeelding(e)

	ph0n3.h4ck3r@gmail.com.jpg‎ (38,6 KB, 47x gelezen)
	LockBackground.jpg‎ (39,0 KB, 45x gelezen)

Bijgevoegde bestanden

ph0n3.h4ck3r@gmail.com.rar‎ (75,0 KB, 14x gelezen)

[iCulture]

Citaat:

Oorspronkelijk geplaatst door maxx001

Ik heb vandaag de plaatjes gekopieerd via ssh naar mijn computer. Het waren bij mij 2 bestanden nl.

LockBackground.jpg en
ph0n3.h4ck3r@gmail.com.jpg

Ik weet niet of het toegestaan is deze bestanden hier te posten, als dit het geval is wil ik dit uiteraard best doen.

Maxx

EDIT

Niet meer nodig dankzij het RAR-bestand.

[ppl]

Citaat:

Oorspronkelijk geplaatst door ArB

Zijn post daar was het volgende:

Citaat:

Waarbij ik dus gelijk denk aan een jailbroken toestel omdat je anders totaal niet "in het systeem" kan komen.

Ah kijk aan, die reactie bevestig al compleet wat CallmeMrP al eerder in dit topic heeft uitgelegd. Er is werkelijk helemaal niets merkwaardigs aan de hand. Simpelweg een simpele portscan op een ip-range van T-Mobile waarbij er daarna is ingelogd op alle adressen waarbij een open ssh poort is gevonden. In sommige gevallen is het inloggen gelukt, in sommige niet. Waar het gelukt is, is kennelijk een achtergrond vervangen. Dat is geen exploit en al helemaal geen bug. Niet van een jailbreak en al helemaal niet van Apple. Het is puur een gebruikersfout doordat wachtwoorden niet zijn gewijzigd.

Een nmap op een originele iPhone 3G geeft overigens niets terug. Wanneer je applicaties als Air Sharing aan zet zul je uiteraard wat open poorten zien en bij iets als een jailbreak met ssh natuurlijk ook.

Buiten dat is er sowieso sprake van computervredebreuk omdat men zich toegang heeft verschaft door een beveiliging te doorbreken door gebruik te maken van een "valse" sleutel (het standaard root ww) en er ook nog eens iets op het apparaat is gewijzigd (overschreven). Computervredebreuk is een misdrijf waar sowieso al 1 jaar gevangenisstraf aan vast zit en wat kan uitgroeien tot 4 jaar gevangenisstraf. Daarnaast is het draaien van een portscan op een netwerk die niet van jezelf is (je bent niet de eigenaar) en je hebt hiervoor geen toestemming (T-Mobile zal dit niet toestaan) ook strafbaar. Dat zijn dus al 2 strafbare feiten. In dit geval is er ook nog een aanpassing geweest op de iPhone wat dus ook strafbaar is (jaartje cel). Zitten we al aan 3 strafbare feiten

[SuperDutch]

Maar hoe zijn die smsjes dan te verklaren?

[iScorpio]

Raw data van de afbeelding "ph0n3.h4ck3r@gmail.com.jpg":

<?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?>
<x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 4.2.2-c063 53.352624, 2008/07/30-18:12:18 ">
<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#">
<rdf: Description rdf:about=""
xmlns:xmp="http://ns.adobe.com/xap/1.0/">
<xmp:CreatorTool>Adobe Photoshop CS4 Windows</xmp:CreatorTool>
<xmp:CreateDate>2008-12-02T05:27:52+01:00</xmp:CreateDate>
<xmp:ModifyDate>2008-12-02T05:27:52+01:00</xmp:ModifyDate>
<xmp:MetadataDate>2008-12-02T05:27:52+01:00</xmp:MetadataDate>
</rdf: Description>
<rdf: Description rdf:about=""
xmlnsc="http://purl.org/dc/elements/1.1/">
<dc:format>image/jpeg</dc:format>
</rdf: Description>
<rdf: Description rdf:about=""
xmlns: photoshop="http://ns.adobe.com/photoshop/1.0/">
<photoshop:ColorMode>3</photoshop:ColorMode>
</rdf: Description>
</rdf:RDF>
</x:xmpmeta>

[ppl]

Citaat:

Oorspronkelijk geplaatst door SuperDutch

Maar hoe zijn die smsjes dan te verklaren?

Vanaf de commandline zijn die vast wel te versturen.

[InternetRebel]

Citaat:

Oorspronkelijk geplaatst door scorpiosoft

<xmp:CreatorTool>Adobe Photoshop CS4 Windows</xmp:CreatorTool>

In elk geval een Windows gebruiker dus. Jammer, dat laat nog steeds zo'n 95% van de computergebruikers over? Was het Mac geweest dan konden er al een berg "verdachten" worden afgestreept.

[edit]

Dringt nu ook pas tot me door dat het gebruikte icoontje een "super smiley" van MSN is, was dus eigenlijk al duidelijk dat dit uit de Windows-tak van iPhone gebruikers moest komen. Maar ja, ooit wel eens iets goeds van Windows gekomen eigenlijk? ;-)

---

Laatst gewijzigd door InternetRebel; 03-12-08 om 00:48.

[jonathan]

Dit klinkt best wel ernstig...
Wel dom van T-Mobile trouwens dat ze alle iPhones in één IP-range hebben zitten. Nou ja, hun schuld is het niet, maar toch ;-)

[CallmeMrP]

Beide .jpg bestanden zijn gemaakt met Adobe Photoshop CS4 door ene 'XXXXX'. Je zou vermoeden dat deze scriptkiddie lid is van iPhoneclub.nl, anders zou je toch niet naar deze website verwijzen in je 'hack'. En.. is dat is even toevallig: <verwijderd door iPhoneclub.nl>
Als iemand van iPhoneclub zo vriendelijk zou willen zijn het IP-adres van de frontpage reactie van ph0n3.h4ck4r@gmail.com zou willen cross-checken, zou ik graag het resultaat daarvan vernemen. Dat zou ik dan mee kunnen nemen bij mijn aangifte bij de politie morgen.

---

Laatst gewijzigd door iCulture; 03-12-08 om 02:17. Reden: - Anoniem gemaakt

[Buur]

Die "hacker" heeft in ieder geval voor elkaar gekregen wat meerdere mensen met mij al veel langer roepen: SSH op de iPhone kan je beveiliging compromitteren. Dus ga er veilig mee om (op zijn minst wachtwoorden veranderen EN steeds uitzetten na gebruik).

Wat die "hacker" verder wil is ermee naar Apple stappen om deze "veiligheidslek" aan te pakken... En dan denk ik dat onze hacker helemaal niet zo'n slimme kerel is als dat hij zich wil doen voorkomen! Want daar bij Apple gaan ze hem vierkant uitlachen! Laten we even nadenken (iets wat die "hacker" blijkbaar niet gedaan heeft)... Dit is geen beveiligingslek van het iPhoneOS, dit heeft juist kunnen gebeuren doordat mensen een jailbreak uitgevoerd hebben en OpenSSH geinstalleerd hebben en dan ook nog eens niet veilig gebruiken! Apple zal dit alleen maar zien als bevestiging van hoe goed de keuze was om het iPhoneOS helemaal af te sluiten. Sorry dat ik het zeg, maar wat een loser...
Maar okee, hij heeft zijn boodschap naar buiten kunnen brengen en als enige voordeel zullen we het maar bekijken als een agressieve wijze van mensen wijzen op het verstandig gebruiken van OpenSSH na een jailbreak en dat ze hun standaardwachtwoordne moeten veranderen...

[iCulture]

Citaat:

Oorspronkelijk geplaatst door CallmeMrP

Beide .jpg bestanden zijn gemaakt met Adobe Photoshop CS4 door ene 'XXXXX'. Je zou vermoeden dat deze scriptkiddie lid is van iPhoneclub.nl, anders zou je toch niet naar deze website verwijzen in je 'hack'. En.. is dat is even toevallig: <verwijderd door iPhoneclub.nl>
Als iemand van iPhoneclub zo vriendelijk zou willen zijn het IP-adres van de frontpage reactie van ph0n3.h4ck4r@gmail.com zou willen cross-checken, zou ik graag het resultaat daarvan vernemen. Dat zou ik dan mee kunnen nemen bij mijn aangifte bij de politie morgen.

Nogmaals: alle ip-adressen bij ons bekend zijn al 40x gecontroleerd, op alle mogelijke manieren. Laten we hier a.u.b. geen heksenjacht tegen volkomen onschuldige gebruikers beginnen die het ongeluk hebben toevallig ooit een gebruikersnaam te hebben gekozen die nu ineens hiermee in verband kan worden gebracht. Dit soort reacties worden verwijderd danwel bewerkt.

[Fresh]

Hoe het is gebeurd is eigenlijk niet belangrijk. Zoals iPhoneclub al zegt in het artikel; gewoon aangifte doen. De Hacker heeft wel degelijk computervredebreuk gepleegd en is zodoende strafbaar. Alle getroffenen zijn toch in hun privacy geschaad. Het voelt alsof iemand letterlijk in je huis is geweest. Tenminste, zo voelde het wel toen onze site gehackt was.

Wat wel (in technisch opzicht) interessant zou zijn om te weten is of een jailbreak i.c.m. SSH inderdaad de boosdoener is. Volgens de hacker zelf niet...

[CallmeMrP]

Citaat:

Oorspronkelijk geplaatst door iPhoneclub.nl

Nogmaals: alle ip-adressen bij ons bekend zijn al 40x gecontroleerd, op alle mogelijke manieren. Laten we hier a.u.b. geen heksenjacht tegen volkomen onschuldige gebruikers beginnen die het ongeluk hebben toevallig ooit een gebruikersnaam te hebben gekozen die nu ineens hiermee in verband kan worden gebracht. Dit soort reacties worden verwijderd danwel bewerkt.

Prima. Jullie je verantwoordelijkheid en ik de mijne. Ik neem aan dat het geen probleem is als ik vermeld dat mensen die gehackt zijn het betreffende jpg bestand kunnen openen met wordpad en dat dan in de eerste regel naast 'adobe' de nickname te vinden is van de 'h4ck3r'? Dat er toevallig ook een gebruiker is met dezelfde nickname is iets wat er vervolgens mee in verband kan worden gebracht.

[iCulture]

Citaat:

Oorspronkelijk geplaatst door CallmeMrP

Prima. Jullie je verantwoordelijkheid en ik de mijne. Ik neem aan dat het geen probleem is als ik vermeld dat mensen die gehackt zijn het betreffende jpg bestand kunnen openen met wordpad en dat dan in de eerste regel naast 'adobe' de nickname te vinden is van de 'h4ck3r'? Dat er toevallig ook een gebruiker is met dezelfde nickname is iets wat er vervolgens mee in verband kan worden gebracht.

Iedereen mag uiteraard zijn eigen onderzoek doen en zonder namen te noemen kun je inderdaad een hoop hints weggeven. Maar Mr Scriptkiddie is niet helemaal dom en heeft "netjes" gebruikgemaakt van (vermoedelijk) anonieme proxies. Zijn eerste blogreactie was van een ip-adres in de VS, het andere met een ip-adres in Thailand. Het lijkt me geen kwaad te kunnen dat nog openbaar te melden. Met die twee ip-adressen kom je echter geen enkele steek verder.
Ik wil desalniettemin pleiten om hier geen ordinaire heksenjacht van te maken. Alles wordt zorgvuldig bestudeerd en indien nodig zullen wij zeker gepaste juridische actie ondernemen.

[Buur]

Citaat:

Oorspronkelijk geplaatst door jonathan

Dit klinkt best wel ernstig...
Wel dom van T-Mobile trouwens dat ze alle iPhones in één IP-range hebben zitten. Nou ja, hun schuld is het niet, maar toch ;-)

Waar haal je dat vandaan? Ik denk dat je een denkfout maakt. Anders graag onderbouwen. Natuurlijk heeft T-Mobile zijn eigen IP-range. Maar om te zeggen dat daar alleen iPhones op zitten, is erg kort door de bocht. Iedere verbonden 3G-foon zal binnen die reeks vallen. Zo werkt het nu eenmaal, net als bij internetproviders.

/edit:
Ik was al bang dat er naar T-Mobile en Apple gewezen zou gaan worden, als mogelijke medeveroorzaker van dit leed. Laat ik nogmaals heel duidelijk zijn: Apple heeft niet voor niks een "jail" aangebracht en lacht zich hier dus krom om ("zie nou wel dat we gelijk hadden om de iPhone gebruikers te beschermen tegen zichzelf!") en T-Mobile kunnen we alleen maar blij mee zijn dat die geen poortfilters aangebracht hebben om dit te voorkomen... Dan is het eind zoek! Het begint met een block op poort 22 en wat wordt de volgende? Neuhhhhh!!! Afblijven en laat het netwerk open! De enige juiste veroorzakers van dit leed zijn onwetende gebruikers, die zichzelf niet goed ingedekt hebben tegen dit soort indringing. Jammer voor hun, maar er zitten nu eenmaal risico's aan onwetend je iPhone (of welke andere computer dan ook!) openzetten naar de wereld met zoiets als SSH onveilig ingesteld. Die waarschuwing is al vaker afgegeven, maar hopelijk gaan mensen nu eerst eens nadenken, voordat ze zoiets doen.

/edit2:
Ik ben wel degelijk een voorstander van een "open" iPhone. Maar zomaar iets installeren of aanpassen en dan niet kijken naar o.a. de veiligheid, tsja, dat is gewoon dom. Dan kun je beter je iPhone niet jailbreaken, als je je eigen verantwoordelijkheid dan niet neemt. Laat dan de verantwoordelijkheid voor je beveiliging van je eigen gegevens en iPhone maar bij Apple alsjeblieft!

---

Laatst gewijzigd door Buur; 03-12-08 om 02:56.

[CallmeMrP]

Even een korte reply op Buur: hoewel ik het met je eens bent dat het probleem niet bij Apple (nu al te streng) of T-Mobile (gelukkig niet streng) ligt, ben ik het niet met je eens dat mensen die een iPhone hebben die kwetsbaar is/was niet zouden nadenken voordat ze iets doen.

Zoals ook gelukkig in het frontpage artikel is opgenomen en ik al eerder heb gepost, zet SBSettings SSH automatisch aan na een reboot, ook als je in BossPrefs in hebt gesteld dat SSH automatisch uit zou moeten sta na een reboot. Zo ging ik er zelf vanuit dat ik geen risico liep, omdat SSH altijd uit stond, behalve als ik het nodig had en dan alleen binnen mijn eigen locale netwerk dat ik zelf goed beschermd heb naar buiten toe. De standaard wachtwoorden heb ik dus ook niet hoeven veranderen en omdat dit ook narigheid zou kunnen veroorzaken met apps/backups/jailbreak/toekomstige unlock/etc heb ik dat dan ook niet gedaan. Zo kan je toch voor een onaangename verrassing komen te staan als blijkt dat SBSettings de SSH service aan heeft gezet terwijl ik verbonden was met T-Mobile 3G!