Un po di tempo fa ha fatto scalpore il primo virus di tipo worm per iPhone, che nel giro di pochi giorni aveva ownato una miriade di melafonini in giro per il mondo.
Dopo l’accaduto, subito nella rete si sono sparsi svariati rumors, la maggior parte dei quali si può riassumere in :
Non eseguite il jailbreak dell’iPhone se non volete essere infettati!
Dato che sta frase è evidentemente stupida e, in alcuni casi, aimè è stata pronunciata con secondi fini (della serie “ecco una scusa x far credere a tutti che jailbreakare non va bene”), tanto xkè non c’ho niente da fare scrivo un po nel dettaglio cosa faceva sto worm, come funzionava ma soprattutto PERCHE’ funzionava.
Innanzitutto, c’è da fare un preambolo.
Nel momento in cui si jailbreaka il proprio iPhone, viene installato il demone ssh configurato con la password di root di default “alpine” (e qui i più svegli hanno già capito l’inghippo).
Naturalmente è scontato che tale password va contestualmente cambiata con una più sicura e meno conosciuta, ma a quanto pare tanto scontato non è dato che gli iPhone ownati erano proprio di persone che non hanno eseguito questo procedimento.
In pratica, il worm in questione, eseguiva una scansione sui seguenti indirizzi:
| 192.168.0.0-192.168.3.255 | Local network |
| 94.157.100.0-94.157.255.255 | T-mobile, Netherlands |
| 87.103.52.255-87.103.66.255 | Vodafone, Portugal |
| 94.157.0.0.0-120.157.99.255 | T-mobile, Netherlands |
| 114.72.0.0-114.75.255.255 | OPTUSINTERNET, Australia |
| 92.248.90.0-92.248.120.255 | MOBILKOM, Austria |
| 81.217.74.0-81.217.74.255 | Kabelsignal AG, Austria |
| 84.224.60.0-84.224.80.255 | Pannon GSM Telecommunications Inc, Hungary |
| 188.88.100.0-188.88.160.255 | T-Mobile, Netherlands |
| 77.248.140.0-77.248.146.255 | UPC Broadband, Austria |
| 77.54.160.0-77.54.190.255 | Vodafone, Portugal |
| 80.57.116.0-80.57.131.255 | UPC Broadband Austria |
| 84.224.0.0-84.224.63.255 | Pannon GSM Telecommunications Inc, Hungary |
(tabella prelevata da questo sito)
Come è facile intuire, sono gli intervalli di indirizzi ip che identificano i maggiori provider di connettività mobile.
Una volta identificato un host attivo tra quelli nell’intervallo, il worm sostanzialmente verificava se la porta 22 era aperta (quella del demone ssh) e provava a loggarsi con la password di default alpine.
Una volta dentro, copiava se stesso sul dispositivo e continuava la scansione sulla subnet locale del telefono infettato, e così via, ripdoducendosi esponenzialmente.
That’s fucking all!
Non è stata colpa del jailbreak, non è stata colpa di un mistico exploit 0day che sfruttava qualche strana falla nel sistema … è stata colpa solo ed esclusivamente, come nel 99% dei casi, della stupidità umana.
Cazzo ma non ti viene in mente di cambiarla la password ssh quando lo installi ?!?!? Bah -.-
Popularity: 20% [?]
Ti potrebbe interessare:
- Resettare le password ed i privilegi di MySQL Dato il downtime di oggi e la relativa risoluzione, colgo...
Github
Identi.ca
Twitter
Last.fm
LinkedIn
Google Reader
Io L’avevo detto dall’anno scorso che sta cosa sarebbe successa xd guardate qua
http://hackkato.forumcommunity.net/?t=15544041
Certo che ne inventano di tutti i colori. ^^