Date : 09 Novembre 2009

 Plateforme : Mac OS X

 Programme : iPhone

 Gravité : Moyenne

 Exploitation : Distante

 Dommage : Accès au système

 Description : Un premier ver se propageant sur les iPhone a été identifié. Ce dernier se nomme "Ikee", et est apparu vendredi dernier en Australie.

"Ikee" se propage sur les iPhone Jailbreakés à l’aide de SSH. Les iPhone Jailbreakés souffrent tous par défaut d’une vulnérabilité. En effet, le login et le mot de passe du serveur SSH, installé par défaut, lors du déblocage du téléphone sont connus et très peu souvent modifiés par les utilisateurs peu soucieux de leurs données personnelles (voir bulletin n°1257324901).

"Ikee" a été écrit en langage C, et le vers est plutôt simple. "Ikee" va scanner des plages d’adresses IP, qui pour le moment sont codées en dur et appartiennent toutes à des utilisateurs Australiens. Si une adresse IP est joignable, "Ikee" va utiliser une application Cydia afin d’essayer de se connecter via SSH. Si la connexion réussit, le ver copie alors plusieurs fichiers (lui y compris) sur l’iPhone vulnérable. Puis "Ikee" tue le démon SSH afin que l’appareil ne soit plus vulnérable, et enfin change le fond d’écran par l’image d’un chanteur des années 80.

Pour l’instant l’infection se cantonne à l’Australie. Heureusement pour les utilisateurs affectés, le ver n’est pas dangereux en soi. Néanmoins, l’auteur d’Ikee a mis a disposition le code source de son malware. Il est donc fort probable que d’autres personnes se basent sur son travail pour créer des malwares beaucoup plus dangereux.

 Référence :

http://www.sophos.com/pressoffice/n...

http://www.f-secure.com/weblog/arch...

http://isc.sans.org/diary.html?stor...

http://www.theregister.co.uk/2009/1...

http://www.xmcopartners.com/veille/...

 Correction : Nous vous recommandons de changer le mot de passe par défaut du compte root pour SSH, ou de rendre le démon inactif.

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/clie...