Risque avec les iPhone jailbreakés (bis)
Par L le mardi 17 novembre 2009, 09:09 - Les brèves iPhone et iPod Touch - Lien permanent
Les possesseurs d'iPhone jailbreaké qui ont installés SSH
et n'ont pas changé le mot de passe du compte root (la plupart
?) ont eu la semaine dernière un premier avertissement sans frais,
on en a parlé dans ce billet.
Cette fois-ci, la société Intego, spécialisée dans la sécurité informatique,
a repéré un logiciel qui utilise la même technique (connexion
ssh sur le compte root) mais cette fois, elle ne se contente pas de changer le
fond d'écran mais elle récupére des données personnelles
(emails, SMS, contacts, calendriers, photos, musique, vidéos et données de
toutes les applications installées) stockées sur
l'iPhone.
Précision : Les iPhone non jailbreakés ne sont pas touchés par
ce risque, pour les autres, changez vos mots de passe des comptes
'root' et 'mobile'.
Achat iPhone 4S : 
Commentaires
comment on fait pour changer le mdp ?
C'est quoi ce compte "mobile"?
Jamais entendu parlé de ce compte. La dernière fois vous n'avez évoqué que "root" avec mpd "alpine".
Aie aie aie! quelqu'un sait comment faire pour changer ses mots de passe? merci d'avance
Ouf mon iphone est en officiel. J'ai trop eu de probleme en jailbreakan
Peu etre que les ingenieurs de Apple sont pour quelque chose dedans
Fallait s'y attendre.. avec le nombre croissant de possesseur d'iphone et grace a GeoHot, on a une facilité déconcertante pour le JB. Beaucoup de nouveau possesseur y passe que ce soit pour les ipa ou pour la custo.
Normal que les mauvais "esprit" s'y attaque aussi. en meme temps, changer le mdp du ssh c'est vraiment pas sorcier et ca prend 2 minutes montre en main...
En meme temps, ça me parait logique, j'appelle pas ça une faille de sécurité ni un risque ... Quel idée de laisser le mot de passe par défaut ...
Qui utilise les mdp 123456, 111111 pour ces comptes bancaires ? Personne ! Ben c'est la même chose ici. Il y a aura un véritable risque lorsque des programmes malveillant arriveront à rentrer sur nos machines avec des mdp personnalisés.
Bye
@Pierre99 : Avec les outils simplisimse qu'on a maintenant pour Jailbreaker son iPhone, nombreux sont ceux qui n'y connaisse rien en informatique donc pas étonnant que les mdp ne soient pas modifiés!
@Bumbo : Je suis d'accord avec toi, mais dans ce cas, il n'utilise pas SSH.
Juste une question, est ce que quelqu'un sait si ces problemes se passent avec un iphone utilisant un mac, un pc ou les deux? Car si j'ai bien compris pour rentrer dans l'iphone le pirate utilise l'ordinateur de l'utilisateur.
Désactiver le SSH en dehors des manipulations m'a paru beaucoup plus simple que de changer le mot de passe, même si j'y viendrai surement.
Quel dommage qu'apple ne regarde pas plus du côté des applications/mods jailbreak pour ses MaJ. On se faisait la reflexion avec mon frère l'autre jour.
A part pour SBSettings et les accusés réception, tester à la rigueur quelques applis (je note au passage que nous avons acheté toutes les applis qui nous plaisaient, même TomTom Europe, c'est dire !), le jailbreak ne nous sert à rien.
Y a t il un endroit ou faire des suggestions à apple pour les futures MaJ, du genre avec des votes et tout ? Parce que les toggle SBSettings sont quasi indispensables à quiconque veut gérer efficacement sa batterie et les fonctionnalités de connectique !
Exactement. SSH n'est plus installé par défaut avec les derniers jailbreak. Donc ceux qui jailbreak juste pour installer Winterboard ou SBSettings ne sont pas touchés. Il faut avoir installé SSH. Si on n'a pas installé SSH (cherchez OpenSSH dans les paquets installés sous Cydia), l'iPhone est fermé comme un iPhone normal.
Mais c'est marrant que la news sur intego ne sorte qu'aujourd'hui sur le blog. J'en avais parlé dans les réponses au poste du 11 novembre (message 23 là http://www.iphon.fr/post/2009/11/10...).
@Pierre99 : Biensur que si! Si dans le tuto pour installer telle ou telle application, on leur demande d'installer SSH, il vont le faire les yeux fermés sans savoir à quoi cela correspond!
euh pour se connecter sur un iphone, il faut pas simplement le mot de passe, il faut l'IP de l'Iphone aussi non ?
Oui, mais si on scanne toutes les adresses du réseau, on va bien tomber dessus. Il faut aussi que l'opérateur laisse passer. Chez Swisscom en tout cas, j'ai testé et le port 22 est bloqué, aussi bien depuis le réseau Swisscom que depuis un réseau externe.
Bonjour encore plus simple, pour changer le pass SSH d'un iPhone il suffit simplement d'installer Mobile terminal dans cydia puis de taper dedans :
su root (entrée)
(demande du password) : alpine (entrée)
passwd (entrée)
(rentrer un nouveau mot de passe) celui que vous souhaitez (entrée)
puis tapez :
su mobile
(demande du password) : alpine (entrée)
passwd (entrée)
(rentrer un nouveau mot de passe) celui que vous souhaitez (entrée)
Et c'est fini, pas besoin d'aller sur un autre site :)
Bonjour,
De toutes façons il faut que ssh soit "actif", non ?
Bonjour, si on a utiliser le SSH une seule fois puis désinstallé l'application OpenSSH cela suffit-il a ne pas être infecté ou il faut tous de même changé l mots de passe?
http://www.iphonefr.com/viewtopic.p...
pour les nouveaux se sera plus facile comme ça
Pourquoi apeurér tout le monde pour rien? Il faut avoir oppenSSH d'installé et de lancé. Se qui n'est pas le cas de TOUS les iphones jailbreaké...
J'en parlais déjà dans le post sur le ver de Ikee (commentaire 34) jeudi dernier...
5 jours pour annoncer ça...
C'est un peu long...
Par le passé, il y a eu des problèmes avec certaines applications en changeant le mot de passe du compte mobile.
Il est donc préférable de ne changer que le mot de passe du compte root, puis d'ajouter à la fin du fichier /etc/ssh/sshd_config la ligne "DenyUsers mobile". On garde ainsi le mot de passe "alpine" pour le compte "mobile" sans toutefois pouvoir l'exploiter à distance.
A+
Heu...
Comme je ne suis pas forcément une flèche, je préfère demander...
J'ai jailbreaké mon 3GS avec Blackra1n.
J'ai cherché openSSH dans Cydia, sans succès.
Pour autant, j'ai quand même voulu installer MobileTerminal, mais j'ai un message d'erreur (HTTP/1.1 503 Service Unavailable).
Je ne risque rien, non?
Si on a désinstallé OpenSSH le SSH continu t-il a tourné?
Ça c'est de la news!
Fait juste presque une semaine qu'elle est sur les autres blogs...
Personne pour répondre?
@K4toN' : Pourquoi viens tu ici si "l'herbe est plus verte (et fraiche) chez le voisin?"
Le mien si tu es jailbreaké est de changer le mot de passe, point.
Tu ne peux pas être sur que même désinstaller OpenSSH n'as plus d'effets, et pour cause, comme tu es JB tu as mis à bas les protections de ce genre.
Alors va dans terminal, et c'est réglé, c'est fait en 30s.
Communauté Eliminate France: http://france.eliminatepro.xooit.fr...
mieux*
Je n'ai pas compris Bumbo, peut tu être plus clair ? :)
@K4toN': Je voulais dire : Qu'est ce que tu viens faire sur ce blog si c'est pour le critiquer à chaque fois?
Tu a vu la news il y a une semaine, c'est cool pour toi, mais tu n'es pas obligé de le faire remarquer comme ca.
Si tout le monde fait ca, on ne s'en sort plus.
J'adore les mecs qui critiques le blog sur toutes les news mais qui passe quand même leur journée dessu :-)
Ok, j'avais donc bien compris, tu parle donc pour ne rien dire :)
Moi j'adore les mecs qui viennent critiquer ce que disent les autres parce qu'il n'ont définitivement pas grand chose à dire =)
Tu n'es pas de taille si tu veux m'embêter, retourne jouer avec tes big-Jims ;)
@K4toN': Lol, "Tu n'es pas de taille si tu veux m'embêter".
J'adore^^.
Mais on va s'arrêter la quand même ;-)
Tu vas surtout devoir être forcé de t'arrêter, comme tu n'as rien à dire d'utile...
C'est aussi bien.
desactiver la connexion ssh apres ya plus aucun risk
pour le desactiver on peux utiliser boospref ou SBSettings
@Manu
Attention cependant, celle-ci se réactive à chaque reboot/respring, donc il faut obligatoirement changer le mdp pour une sécurité effective.
En plus le SSH quand le serveur est activé çà fait fondre la batterie à vue d'oeil (-50% en une journée de veille sur le mien), alors autant effectivement non seulement changer le password par défaut, mais aussi désactiver SSH quand on ne l'utilise pas spécifiquement...
@Serge:
Tu dois avoir un souci, car ce n'est pas le cas en général, le SSH consomme uniquement lorsque l'on s'en sert.
J'ai fait avec un autre membre un tuto de sécurisation ssh pour les plus paranos d'entre vous : http://forum.iphonezine.fr/viewtopi...
On commence par le facile et on finit par le plus compliqué, mais si avec ça vous vous faites pirater votre iphone par ssh, c'est qu'on vous en veut vraiment :D
Trop de blabla pour rien ^^
Lancez Terminal faites les commandes cités plus haut et puis on en parle plus .
Pas de souci à avoir les gars . Le precieux est vraiment précieux ^^
Bon, rentré chez moi, j'ai activé le wifi, et j'ai réussi à télécharger MobileTerminal... Bizarre!!!
Bref, merci beaucoup à tous ceux qui ont pris la peine de faire des tutos et de donner des conseils... :o)
Merci les gars!
Sa sert a rien de paniqué... on dirais une campagne anti jailbreak de la part de certain... c bon changer le mots de pass, desactivé SSH et on en parle plus... pour info lorsqu'on change le pass root sa change le mobile...
allez bonne soirée
Bonsoir comment et ou on voit si openSSH est activer dans cydia
merci
@deki : mais bien sur et la marmotte...
Non ça ne change pas le mot de passe mobile quand on change le mot de passe root !!! C'est totalement faux.
@thoraph
Cydia > Recherche > OpenSSH
Si “OpenSSH” est coché, c’est qu’il est installé…
@Sioban
Et si, @deki a absolument raison.
Pas besoin de faire:
su mobile
passwd
le changement du mot de passe pour ROOT marche correctement mais pas pour MOBILE ???
Des que je rentre alpine,rien ne se passe????
Pourquoi ?
@kenshigros
Si le mot passe a été changé sur root alors il est implicitement changé sur mobile.
Different spheres of life consume lots of time and efforts, hence why must we waste valuable time for essay thesis writing? This would be smart to utilize some famous <a href="http://quality-papers.com/topics/so...">sociology essay writing</a> service to buy the analytical essay from, I think so.