Belangrijk: Voor het goed functioneren van nrc.nl maken wij gebruik van cookies (meer informatie).
Hiervoor hebben wij wel eerst je toestemming nodig. Klik op de groene knop als je hiermee akkoord gaat.

Gekraakte iPhone loopt extra risico bij internetbankieren

door

iphonesDe Apple iPhone wordt ook door hackers serieus genomen. Gisteren maakte ING bekend dat bezitters van een gekraakte (‘jailbreaked’) iPhone een risico lopen hun bankgegevens kwijt te raken omdat een wormvirus van een vervalste website naar inloggegevens viste. Het is niet duidelijk hoeveel mensen zo hun bankgegevens zijn kwijtgeraakt. Wel zijn er ip-adressen aangetroffen van mensen die vanuit hun vakantieadres mobiel hun bankzaken probeerden te regelen.Voor het weekeinde werd het lek al ontdekt door een veiligheids-expert van XS4all, die ongebruikelijke activiteit op het netwerk ontdekte.

Wie loopt er risico?

De iPhone blijkt kwetsbaar zodra 1) het toestel is gejailbreaked en 2) vervolgens ook nog eens het programma OpenSSH is geïnstalleerd. OpenSSH is al eerder in de publiciteit geweest wegens veiligheidsproblemen. De applicatie wordt gebruikt om vanaf de eigen computer rechtstreeks toegang tot het bestandssysteem van de iPhone te krijgen. Normaliter is dit afgeschermd door Apple. Met dit programmaatje kun je navigeren door de inhoud van de smartphone, net zoals je dat in Windows Verkenner of de Apple Finder doet.

Open SSH wordt telkens geïnstalleerd met hetzelfde standaard wachtwoord. Dat is de werkelijke reden van het lek. Wie 3) dat wachtwoord niet veranderd heeft en de afgelopen dagen inlogde de ING site bezocht, loopt kans dat hij of zij gegevens heeft ingevuld op de phishingsite. (Lees hier hoe je het OpenSSH-wachtwoord kunt veranderen.)

De iPhone is dus niet daadwerkelijk gehacked, maar heeft de deur onder deze specifieke omstandigheden wagenwijd open staan. Geen hack maar een lek. De worm gaat op zoek naar oude TAN-codes in de sms-database in het toestel. Daarnaast gaat het besmette toestel op zoek naar andere kwetsbare iPhones om zo een botnet te vormen – een reeks toestellen die op afstand bestuurd kunnen worden om bijvoorbeeld andere websites aan te vallen. Een krachtige mobiele telefoon die nonstop op internet zit, is goed in te zetten voor zo’n botnet.

Volgens veiligheidssite Security.nl is de betreffende phishing site (die vermoedelijk in Litouwen stond) al wel uit de lucht. Het is ook mogelijk  dat de vervalste website verplaatst is naar een ander adres.

Waarom zou je de iPhone kraken?

Apple heeft zijn smartphone goed dichtgespijkerd, bijvoorbeeld om te voorkomen dat mensen een andere provider kiezen dan de officiële telecompartner (T-Mobile in Nederland). De simlock is ook tegen betaling te verwijderen, zonder het toestel te jailbreaken.  Ook de iPhones die je in Italië of België zonder simlock koopt, zijn niet gekraakt.

Belangrijker is dat het technologiebedrijf niet  wil dat gebruikers andere mobiele software installeren dan de applicaties die in de App Store te koop zijn. Apple verdient 30 procent van elke aankoop in de App Store. Veeleisende iPhone-gebruikers vinden dat Apple onnodig te lang wacht met het goedkeuren van nieuwe applicaties. Bovendien laat Apple geen applicaties toe die concurreren met de eigen software. Door het toestel te jailbreaken (en dat hebben vermoedelijk al miljoenen gebruikers gedaan die een grijze iPhone in het buitenland kochten) is het mogelijk zelf software te installeren via alternatieve App Stores.

Raadt ING het gebruik van iPhones voor internetbankieren niet af. Sterker nog; ING heeft  een kortingsactie voor het toestel op touw gezet. Het gaat daarbij wel om telefoons die niet gekraakt zijn, maar keurig via officiële provider T-Mobile verkocht worden.

Geplaatst in:
gsm & smartphone
mobiele diensten
veiligheid
Lees meer over:
bankieren
iphone
jailbreak
security

15 reacties op 'Gekraakte iPhone loopt extra risico bij internetbankieren'

Meubelen

En wat zouden ze dan aan mijn oude tancode hebben? en een nieuwe aanvragen gaat alleen als ze mn wachtwoord weten…

Azijn

“Apple heeft zijn smartphone goed dichtgespijkerd om te voorkomen dat mensen een andere provider kiezen dan de officiële telecompartner (T-Mobile in Nederland).”

Dat is overduidelijk incorect. Je kunt gewoon naar Belgie rijden, daar een simlockvrije iPhone kopen en deze zonder problemen met welke provider dan ook gebruiken. Ook neem ik aan dat T-mobile na een jaar gewoon de simlock op verzoek zal verwijderen (zoals gebruikelijk).

Ben je nog steeds volkomen veilig voor dit virus!

Het gaat niet om de SIMlock, maar Apple heeft de telefoon goed dichtgespijkerd om de controle te houden over de “gebruikservaring”. Ze willen voorkomen dat mensen allerhande 3e-partij applicaties installeren die niet door hun gecontroleerd zijn of bvb. de deur wagenwijd openzetten voor misbruik.

Oftewel, juist om dit soort grappen te voorkomen.

Kris

Wat een gedoe, gooi er gewoon een wachtwoord op.. dan hebben we dat gezeur ook niet meer, mensen maken zich zo druk om niks.

Martijn

Als je het nieuwsartikel leest, en als je dit artikel niet goed leest, klinkt het alsof het probleem ligt bij OpenSSH, en niet bij de anticoncurrentie en anticonsumenten praktijken van Apple. Dat irriteert mij nogal, vooral omdat het de zaken omdraait. OpenSSH is beroemd om zijn veiligheid en stabiliteit, en is altijd fatsoenlijk geweest richting zijn gebruikers. Apple daarentegen maakt zich schuldig aan allerlei smerige truukjes, en heeft al zijn stabiliteit en veiligheid te danken aan BSD, een project dat verband houd met OpenSSH.

Het is _weer_ de ronduit vijandige houding richting klanten die het probleem veroorzaakt, en de schuld wordt gelegd bij een van de pronkstukken van de oplossing, Open Source.

Overigens ben ik van mening dat de “beveiliging” die voorkomt dat een gebruiker zijn eigen telefoon mag gebruiken, DRM, misbruik van patenten en al die andere anticonsumenten en anticoncurrentietruukjes verboden dienen te worden.

Sander van der Wal

Het lijkt mij dat het nu een kwestie van tijd is voordat er trojans voor gejailbreakte iPhones komen, die iets nuttigs doen, maar ondertussen ook een servertje gaan laten draaien waarme allerlei malware direct naar de iPhone gepushed kan worden.

Hans van der Made

Zoals aangegeven heeft OpenSSH een uitstekende reputatie en deze software is dan ook de meestgebruikte variant (>80% volgens de ontwikkelaars) van SSH-software. De iPhone heeft een standaardwachtwoord, dat op afstand gebruikt kan worden zodra iemand software installeert die login op afstand mogelijk maakt, OpenSSH of iets heel anders. Met de software zelf heeft het probleem dus niets te maken, in tegenstelling tot hetgeen hierboven gesuggereerd wordt.

Cas

OpenSSH heeft wel eerder mot gehad omtrent veiligheid, maar in dit geval ligt het probleem niet hier. Ook het ‘kraken’ van de iPhone is de oorzaak niet. Het probleem zit in de iPhone zelf, die zelf onvoldoende veilig is. Het ‘dichtspijkeren’ van de iPhone is voornamelijk, zoals al eerder gezegd, om concurrentie te voorkomen, met als bijkomend effect dat de consument direct benadeeld wordt, zoals gebruikelijk bij Apple.
Overigens; openSSH wordt dus absoluut niet meer dan 80% gebruikt. De fabrikant verzint deze waardes, zoals gebruikelijk is tegenwoordig.

Jacob

Wat een gedoe om nix. Apple heeft er voor gezorgd dat de iPhone een veilig apparaat is. Gaan mensen om die veiligheid heen, en er gebeurt iets, beginnen ze te jammeren. Sukkels.

Sander van der Wal

Een telefoon (of computer) is remote (zonder het ding zelf vast te houden) alleen te kraken als er een server op draait. Als die server bedoeld is om op commandoregelnivo toegang te bieden dan wordt kraken heel makkelijk, als je eenmaal op die commandoregel bent aangekoment. De enige beveiliging die dan overblijft is het wachtwoord.

Als er andere servers draaien dan is kraken veel moeilijker. Als b.v alleen een bluetooth-ontvangstserver draait kan je daarmee niet zomaar de commandoregel op.

Het lijkt mij dat hier de eigenaar van de telefoon toch echt wel degene is die de fout heeft gemaakt. Ten eerste OpenSSH installeren, en ten tweede het wachtwoord niet aanpassen. Apple de schuld geven is net zoiets als Opel de schuld geven als een Astra-rijder dronken tegen een boom rijdt.

Guus

Zoals eerder aangegeven, ligt het probleem niet zozeer bij OpenSSH. Dit pakket (wat overigens op veel unices een standaard inactief staande service is, MacOS is ook een unix) heeft een uitstekende reputatie, en ik durf te zeggen dat het huidige Internet zwaar in de problemen zou komen als het morgen op hield met werken.

OpenSSH is een manier om ‘op afstand’ in te kunnen loggen op de terminal van een unix apparaat zoals de iPhone. Hierbij worden accounts op dit apparaat over genomen, en een gemene deler van elke unix is de root account, iets wat zich in Windows laat vergelijken met administrator. Elke ICT-leek weet wel dat zo’n account veel kwaads kan uithalen.

Het probleem bij dit lek is een meervoudig probleem. ‘Oude’ jailbreaks (overigens: het is het goed recht van een bezitter van zo’n toestel om de wens om zelf programma’s te mogen installeren uit te voeren, helemaal eens met Apple’s lock in ben ik niet) gebruikten SSH om hun werk te kunnen doen, en installeerden dit dan ook. Nieuwe jailbreaks doen dit overig niet meer.

En dan het probleem van Apple. In hun (stomme) naïviteit dachten ze een unix systeem te kunnen ontwerpen wat dicht ging en dicht bleef. De geschiedenis alleen al had ze beter kunnen leren, zeker als je bewust om een AT&T tevreden te stellen dat ding ‘gijzelt’. In andere worden: elke gezonde ontwerp analyse had jailbreaks kunnen voorspellen, en het ontstaan van ‘alternatieve’ download winkels waar tools als Google Talk wel toegestaan zijn. Het probleem van Apple zit in de ontwerp keuze om het ‘root’ wachtwoord standaard te houden. Als het ding dicht zit is dat geen punt, immers, je kan er toch slechts lokaal op in loggen, maar zodra je ook maar iets van een externe service installeert die gebruik maakt van interne accounts, is dat erg dom. Het root wachtwoord veranderen is iets waar niet om gevraagd word, en dat is amper de schuld van OpenSSH. Om heel eerlijk te zijn, Apple kon voorkomen dat mensen een SIM-kaart gebruiken door ondersteuning voor pincodes toe te voegen, waarom hadden ze het root wachtwoord niet gelijk gezet aan de standaard PIN code?

In het kader van stomme ontwerp keuzes is het net zoiets als:

* Telefoons verkopen (jatgoed) waar de Pincode niet verandert kan worden maar op 0000 blijft staan.
* Windows XP uitleveren met de RDP (remote desktop) server standaard aan, en geen mogelijkheid bieden om het administrator wachtwoord van de standaard waarde (= leeg) af te halen.

Aan de ene kant ja, het is de schuld van mensen die meer willen met hun dure bezit dan het schrikbewind van Apple toe laat, maar aan de andere kant is het een ‘move’ die te voorspellen viel, zeker als je je telefoon op Darwin/BSD baseert (een Unix), en je klanten minder opties bied dan platformen als dat van Nokia/Symbian, JavaME en Windows Mobile in de tijd (hoewel er geen centrale download winkel was in die tijd, waren er al zat sites te vinden waar je programma’s kon downloaden voor die platformen, het was alleen soms wat zoeken. Zelfs mét download platforms zoals OVI store en Windows Marketplace laten beide platformen nog steeds eigen installaties toe), kun je er vanuit gaan dat ze gaan ‘jailbreaken’, andere ROM’s maken, of hetzelfde gaan doen zoals met alle consoles nu. Het succes van het toestel en het gebrek van fysiek medium en het gebruik van goed gedocumenteerde unices, zorgt parallel voor het succes van tools als Purplera1n en alternatieve appstores. Een simpele move als het root wachtwoord veranderen in de PIN-code was dan al heel wat beter geweest dan de problemen die er nu zijn.

Sander van der Wal

Er heerst bij een hoop mensen de opvatting dat de telefoon die ze bij een abonnement kopen voor hen gemaakt is. Dat is dus niet zo, die telefoon wordt voor operators gemaakt, en de operators verkopen de telefoons door aan mensen die daarbij een abonnement nemen. Die paar mensen die een telefoon kopen zonder abonnement zijn te verwaarlozen tov de aantallen die de operators afnemen.

Dat Apple een schrikbewind voert? Dat doen ze om hun klanten (de operators) tevreden te stellen. Dat de klanten van de operators daar last van hebben is minder voor de naam van Apple, maar gezien de winsten die ze maken op de iPhone denk ik niet dat ze daar wakker van liggen. En de operators vinden het ook prima, want Apple krijgt de schuld voor zaken waarvoor de operators de aanstichter zijn.

En de klanten die niet jailbreaken heben ook een voordeel want op hun telefoons is het heel moeilijk om malware te installeren. Trojaanse paarden kunnen (die moet Apple herkennen tijdens het onderzoekstraject voordat de app in de App Store beschikbaar is), maar alle zelfreplicerende malware is niet te maken voor niet-gejailbreakte iPhones.

Alleen de jailbreakende iPhone eigenaren hebben een probleem, als ze niet weten wat ze doen.

Roemer

@Martijn: als Open Source zo “de” oplossing is, waarom is die hele iPhone dan niet als Open Source ontworpen? De Open Source gemeenschap hobbelt toch altijd achter de slagvaardige bedrijven aan. Gebruiksvriendelijkheid en Open Source naderen elkaar de laatste jaren steeds meer, maar het zijn toch echt niet de grootste vrienden. Wie komt er met een revolutionair nieuw product? Wie bouwt de iPhone? Apple. Niet de Open Source gemeenschap. Die houdt het goeddeels bij gratis clones van dingen die we al kennen. (Of hackwerk.) Klagen over dat de iPhone Open Source zou moeten zijn is dus raar. Zonder Apple was dat ding er nooit gekomen.

Bert

beste mensen,

Je koopt een telefoon, dat doe je onder de voorwaarden van de leverancier. Wil je er dan andere dingen mee doen dan de leverancier, prima, maar ga dan niet lopen bitchen als er iets niet gaat zoals je wil…

Martijn

@roemer: De iPhone _is_ deels Open Source. Het iPhone Operating System is gebaseerd op FreeBSD, net als OS X. Feit is dat de BSD-licentie, in tegenstelling tot de GPL-licentie van o.a. Linux geen Copyleft heeft, en dus niet eist dat als je afgeleide software maakt, dat het dan ook Open Source blijft. Tot en met OS 9 heeft Apple juist verschrikkelijk zitten klungelen met een systeem dat labiel en onveilig was, en de recente wederopstanding van Apple is een gevolg van het adopteren van Open Source Software.

Dat er geen sprake is van innovatie bij Open Source en dat ze alleen maar andere software klonen is gewoon niet waar. De meest vooruitstrevende webbrowsers zijn Firefox en Chrome, beide (deels) Open Source. Mensen denken dat OpenOffice.org een kloon is van MS Office, en ook dat is niet waar. MS Office is een kloon van WordPerfect en StarOffice, en StarOffice is OpenOffice.org met een paar extra’s.

Ik vind ook niet dat de iPhone Open Source ‘moet zijn’. Wat Apple doet met wat ze maken zal me een zorg zijn. Ik bedoel dat ik de voorkeur leg bij Open Source concurrenten, zoals Google Android. Waar ik mij aan stoor is dat bedrijven zoals Apple (en MS) hun uiterste best doen om de markt te verpesten.

P.S.: Dit alles betekent niet dat ik niet vind dat Apple innovatie in de iPhone heeft gestoken. En ik wil ook best erkennen dat in het verleden Open Source software voor en door experts was, en dat er pas sinds een jaar of 6 ook naar de gewone gebruiker wordt gekeken.

Martijn

Kleine toevoeging aan mijn vorige post:
Apple’s wederopstanding is niet alleen het gevolg van de adoptie van Open Source, maar ook natuurlijk van hun uitbeiding naar het muziekvlak, met bv. iTunes en de iPod.