Nach dem kürzlichen Direktangriff eines holländischen Hackers von iPhones mit gibt es jetzt eine erneute Warnmeldung an alle Jailbreaker unter uns: Der erste bekannte iPhone-Wurm nutzt genau die selbe Schwachstelle wie schon der Hacker, und nützt die Tatsache, dass kaum ein User das SSH-Standard-Passwort ändert.

iPhone-Wurm ikee Der Wurm namens „ikee“ ist erstmals in Australien aufgetaucht, und ist anscheinend noch eher harmlos: Er tauscht das Hintergrundbild gegen ein Foto von Rick Astley mit dem Satz „ikee is never going to give you up“ aus, und sucht dann nach anderen angreifbaren iPhones im Netzwerk.
Der Exploit kann von Hackern aber ohne Weiteres so modifiziert werden, dass er Schaden anrichten kann.

iPhones, auf denen kein Jailbreak vorgenommen wurde, sind von der Ansteckungsgefahr nicht betroffen.
 
 

Update:
Virenspezialist Sophos schreibt im Blog:

SophosLabs is analysing the worm's code, which suggests that at least four variants have been written so far. One of the attributes of the latest variant (labelled the „D“ version) is that it tries to hide its presence by using a filepath suggestive of the application.

The source code is littered with comments from the author suggesting the worm has been written as an experiment. One of the comments berates affected users for not following instructions when installing SSH, because if they had changed the default password the worm would not have been able to infect them.

ikee Codeausschnitt (c) sophos.com

Auch der Beweggrund, einen solchen Wurm zu schreiben, ist im Quellcode vermerkt:

Why?: Boredom, because i found it so stupid the fact that on my initial scan of my 3G optus range i found 27 hosts running SSH daemons, i could access 26 of them with root:alpine. Doesn't anyone RTFM anymore?

Das SSH-Passwort kann leicht geändert werden: Die App „MobileTerminal“ aus dem Cydia-Store starten, dann den folgenden Code eingeben:

    su root
    alpine
    passwd
    [zweimal das neue Passwort]

2. Update:
Ein gewisser JD hat in seinem Blog „JD's Thoughts on Everyting“ ein Chat-Interview mit dem Autor des Wurms, inkl. Anleitung zum vollständigen Entfernen des Wurms auf betroffenen iPhones, gepostet.

Der Einfachheit halber haben wir die komplette Deinstallations-Anleitung hier übersetzt:
1. MobileTerminal aus dem CydiaStore starten (alternativ kann auch der iPhone Explorer für Windows verwendet werden)
2. Als Root einloggen, und mit dem Befehl „rm“ die folgenden Dateien löschen:

    Varianten A-C:
    rm /bin/sshpass
    rm /var/mobile/Library/LockBackground.jpg
    rm /System/Library/LaunchDaemons/com.ikey.bbot.plist
    rm /bin/poc-bbot
    rm /var/log/youcanbeclosertogod.jpg

    Variante D:
    rm /usr/libexec/cydia/startup
    rm /usr/libexec/cydia/startup.so
    rm /usr/libexec/cydia/startup-helper
    rm /System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist

3. Gewünschten Bildschirmhintergrund einstellen und Gerät neustarten.
4. Bei Variante D: Cydia neu installieren
5. SSH-Passwort ändern, um zukünftige Infektionen zu vermeiden (siehe oben)

Bildquellen: Screenshot von User Batman im whirlpool forum, Codeausschnitt von Sophos