Gekraakte iPhone loopt extra risico bij internetbankieren

iphonesDe Apple iPhone wordt ook door hackers serieus genomen. Gisteren maakte ING bekend dat bezitters van een gekraakte (‘jailbreaked’) iPhone een risico lopen hun bankgegevens kwijt te raken omdat een wormvirus van een vervalste website naar inloggegevens viste. Het is niet duidelijk hoeveel mensen zo hun bankgegevens zijn kwijtgeraakt. Wel zijn er ip-adressen aangetroffen van mensen die vanuit hun vakantieadres mobiel hun bankzaken probeerden te regelen.Voor het weekeinde werd het lek al ontdekt door een veiligheids-expert van XS4all, die ongebruikelijke activiteit op het netwerk ontdekte.

Wie loopt er risico?

De iPhone blijkt kwetsbaar zodra 1) het toestel is gejailbreaked en 2) vervolgens ook nog eens het programma OpenSSH is geïnstalleerd. OpenSSH is al eerder in de publiciteit geweest wegens veiligheidsproblemen. De applicatie wordt gebruikt om vanaf de eigen computer rechtstreeks toegang tot het bestandssysteem van de iPhone te krijgen. Normaliter is dit afgeschermd door Apple. Met dit programmaatje kun je navigeren door de inhoud van de smartphone, net zoals je dat in Windows Verkenner of de Apple Finder doet.

Open SSH wordt telkens geïnstalleerd met hetzelfde standaard wachtwoord. Dat is de werkelijke reden van het lek. Wie 3) dat wachtwoord niet veranderd heeft en de afgelopen dagen inlogde de ING site bezocht, loopt kans dat hij of zij gegevens heeft ingevuld op de phishingsite. (Lees hier hoe je het OpenSSH-wachtwoord kunt veranderen.)

De iPhone is dus niet daadwerkelijk gehacked, maar heeft de deur onder deze specifieke omstandigheden wagenwijd open staan. Geen hack maar een lek. De worm gaat op zoek naar oude TAN-codes in de sms-database in het toestel. Daarnaast gaat het besmette toestel op zoek naar andere kwetsbare iPhones om zo een botnet te vormen - een reeks toestellen die op afstand bestuurd kunnen worden om bijvoorbeeld andere websites aan te vallen. Een krachtige mobiele telefoon die nonstop op internet zit, is goed in te zetten voor zo’n botnet.

Volgens veiligheidssite Security.nl is de betreffende phishing site (die vermoedelijk in Litouwen stond) al wel uit de lucht. Het is ook mogelijk  dat de vervalste website verplaatst is naar een ander adres.

Waarom zou je de iPhone kraken?

Apple heeft zijn smartphone goed dichtgespijkerd, bijvoorbeeld om te voorkomen dat mensen een andere provider kiezen dan de officiële telecompartner (T-Mobile in Nederland). De simlock is ook tegen betaling te verwijderen, zonder het toestel te jailbreaken.  Ook de iPhones die je in Italië of België zonder simlock koopt, zijn niet gekraakt.

Belangrijker is dat het technologiebedrijf niet  wil dat gebruikers andere mobiele software installeren dan de applicaties die in de App Store te koop zijn. Apple verdient 30 procent van elke aankoop in de App Store. Veeleisende iPhone-gebruikers vinden dat Apple onnodig te lang wacht met het goedkeuren van nieuwe applicaties. Bovendien laat Apple geen applicaties toe die concurreren met de eigen software. Door het toestel te jailbreaken (en dat hebben vermoedelijk al miljoenen gebruikers gedaan die een grijze iPhone in het buitenland kochten) is het mogelijk zelf software te installeren via alternatieve App Stores.

Raadt ING het gebruik van iPhones voor internetbankieren niet af. Sterker nog; ING heeft  een kortingsactie voor het toestel op touw gezet. Het gaat daarbij wel om telefoons die niet gekraakt zijn, maar keurig via officiële provider T-Mobile verkocht worden.