"ohshit" - neues Passwort auf dem iPhone

Eine neue Variante des Wurms, der unzureichend gesicherte iPhones mit Jailbreak befällt, setzt ein neues Passwort.  Mit Hilfe des Passwortknackers John the Ripper gelang es Paul Ducklin von Sophos, dieses Passwort zu ermitteln. Es lautet ohshit.

Der Wurm nutzt das gleiche Problem wie sein Vorgänger, um Smartphones zu entern: Das Systempasswort aller iPhones lautet alpine. Und wer mit einem sogenannten Jailbreak Apples Rechte-Management deaktiviert und dann einen SSH-Server installiert, steht unversehens mit offenem Root-Zugang im Internet.

Und wie zu erwarten, folgen auf die ersten Spasswürmer richtige Spionageprogramme. Der "Duh" getaufte Schädling sammelt laut Sophos mTANs für Online-Banking ein und nimmt Verbindung zu einem zentralen Kontrollserver auf. Ausserdem überschreibt er die Datei /etc/master.passwd mit einer eigenen Kopie, die einen neuen Passwort-Hash enthält. Diesen konnte Ducklin jedoch mit dem Open-Source-Programm John the Ripper knacken.

Nach den vorliegenden Berichten sieht es jedoch nicht so aus, als ob Duh große Verbreitung fände. Wer sein iPhone im Originalzustand betreibt, hat ohnehin nichts zu befürchten. Wer einen Jailbreak durchgeführt und nachträglich einen SSH-Server installiert hat, sollte unbedingt ein neues Passwort setzen. Im Zweifelsfall ist es eine gute Idee, vorsichtshalber jetzt das Passwort für die Accounts root und mobile nochmals zu überprüfen.

Siehe dazu auch:

• Erster iPhone-Wurm unterwegs auf heise Security
• Gehackte iPhones via Mobilfunk-Netz gehackt auf heise Security
  

(ju)