¿Has instalado el OpenSSH?. Cambia el password.

seguridad-iphone

Trabajo en una empresa grande y siempre que ponía en marcha el Cyberduck me llamaba mucho la atención la cantidad de equipos que aparecen por Bonjour. Ultimamente el número de iPhones se ha visto incrementado una barbaridad y aparecen del modo iPhone-de-Fulano.local y en muchos casos accesibles por SFTP.

Estos iPhones son dispositivos a los que se le ha hecho el jailbreak y se le ha instalado el OpenSSH y que además están con el Wifi activado y por supuesto en la misma red local. Estos aparatos es bastante probable que estén conectados a una fuente de alimentación (típicamente en un dock al lado de un ordenador) y por eso tienen el Wifi activo todo el tiempo (el iPhone desactiva la red inalámbrica cuando no está conectado a una fuente de alimentación).

Pues bien, os cuento mi caso: he conseguido entrar en 5 de estos dispositivos en cosa de 5 minutos por SFTP usando la contraseña y password que los iPhones tienen por defecto para el SSH, es decir: “root” para el nombre de usuario y “alpine” para el password. Ni que decir tiene que entrar en un iPhone remotamente y con derechos de súper usuario te permite hacer cualquier cosa, desde borrar archivos importantes del sistema operativo a copiar información privada del usuario (fotos, vídeos, documentos, etc…).

No os alarméis porque para que entren en vuestro dispositivo de esta manera es necesario que estéis conectados en la misma red o que el usurpador conozca de antemano vuestra IP lo que es poco habitual (el reparto de IP’s suele ser dinámico y a priori no sabes la que te va a tocar).

Resumiendo, os recomiendo encarecidamente que si habéis jailbreakeado vuestro iPhone y hacéis uso del OpenSSH que cambiéis la contraseña, para ello nada más fácil que entrar por SSH (Putty, WinSCP…) y que uséis el comando “passwd” para cambiarla.


19 comentarios

  1.   Chris dijo

    ¡Gracias por el aviso!

    ¿Se imaginan la que puede uno liar en una wifi pública en, por ejemplo, un aeropuerto, donde pasa gente constantemente?

  2.   Javier dijo

    Lo primerito que hago siempre… no es nada difícil estar conectado a alguna wifi gratuita como las de centros comerciales, y que te entren y pillen los ficheros de contactos de agenda, notas, sms…

    Aún así ese miedo lo tengo con el jailbreak también…

  3.   Tasio dijo

    También puedes desactivar el SSH desde SBSettings y ya está, no hace falta cambiar la contraseña…

  4.   Kuassar dijo

    Yo quiero saber como has conseguido entrar a los demás iPhones, alguien lo explica?

  5.   Prometeo dijo

    Qué, animando a la gente a hacer jailbreak.. eh?
    Ahora estarán más tranquilos… ;-P

    No, en serio. Gracias por subrayar esta cuestión, que yo por lo menos no tenía ni idea y al iPhone antiguo sí le hice jailbreak.

    ZenQ.

  6.   Octaviz dijo

    Hombre es bueno cambiarla, pero además de estar conectado a la misma wifi el iPhone debe estar usándose, si esta con la pantalla apagada no se puede conectar, pero siempre es mejor cambiarla.

    Saludos.

  7.   DjAlf dijo

    Hola wenas, con WinSCP como cambias la password??? como metes el comando “passwd”???? Gracias

  8.   david dijo

    teneis que entrar con el putty por ejemplo y tras logaros ejecutar passwd y pulsar enter, ahi os pedira que tecleeis el nuevo password.

    yo aparte de tener el password cambiado desde el primer dia, como dicen por arriba con SBSettings teneis un toggle para habilitar y deshabilitar el ssh, cosa muy muy util, ya que el 99% del tiempo no es necesario tener el puerto 22 abierto para nada.

    aun asi, esta muy bien el post para todos aquellos que hicieron el jailbreak y por algun motivo instalaron el OpenSSH sin caer en que tienen que cambiar el password.

  9.   Kate_Raquel dijo

    Disculpame, pero cuando pulso en putty me dice que no lo tengo instalado, he buscado por internet para descargarlo y nada.
    Por otro lado tb permite sesion de telnet,
    me dirias los pasos a seguir pacambiar la contrtaseña?
    Quiero decir, con el comando passwd, que mas?
    Gracias

  10.   root dijo

    Es muy facil cambiar la contraseña, y desde el propio iPhone puedes hacerlo.

    abres el Terminal.
    y escribes:

    > su

    para iniciar sesion de root, te pedira la password, por defecto, alpine

    y luego escribes

    > passwd root
    para cambiar la password del usuario root, por la que nosotros queraos, nos pedira 2 veces meter la misma contraseña.

    y para cambiar la password del usuario mobile, lo mismo.

    > passwd mobile
    uy nos pedira poner una password que queramos.

    y todo desde el propio iPhone, luego hacemos un reinicio, podemos hacerlo desde el Terminal escribiendo

    > reboot

    y listo 😀

  11.   elmonomalvado dijo

    saludos..

    yo sabiendo esto uso el sbsettings y suelo tener desactivado el ssh .. solo lo activo cuando voy a utilizarlo

  12.   Txu dijo

    Conectados a la misma red, con jailbreak, con el ssh abierto, con la pantalla activa, y con alguien buscando esas circunstancias para hacerte algo…demasiadas coincidencias

  13.   Javier dijo

    hay un usuario mobile ??

  14.   aixxx dijo

    Yo desde q instale OpenSSH sabia q esto podia pasar, lo q pasa q no me lie con el rollo de cambiar contraseña, simplemente hice lo q comentan mas arriba, desactivar el ssh con el toggle de sbsettings y activarlo solo cuando lo voy a usar. La putada de esto es q siempre q reinicias se reactiva solo el SSH y lo tienes q desactivar.

  15.   david dijo

    kate_raquel en google te sale a la primera…..

    http://www.putty.org/

    es la pag oficial. Lo bajas lo ejecutas, pones la ip de tu iphone, conectas..

    user: root
    password: alpine

    una vez dentro pones passwd y al pulsar intro te pedira el nuevo password que quieres…. lo tecleas y listo.

    salu2

  16.   MacConguito dijo

    Yo no me complico… Cuando necesito del OpenSSH lo reinstalo y va perfecto. Así lo hago desde hace mucho y me olvido de demonio que consume batería, de togles y de todo… Que lo necesito, pues lo reinstalo que tarda 5 segundos y no hace falta reboot ni nada, en seguida entra, pues al hacerlo la primera vez, como que queda configurado… Y así me evito problemas…. Y si no siemrpe tenemos a mano el PhoneView o el DiskAid… por USB! ;(

  17.   Kate_Raquel dijo

    GRcias a todos, me pelee un rato hasta que me di cuenta que os referiais a terminal en el iphone no en el PC, ajja
    pero ya ta, cambiada las 2 por si acaso

    Grache!!!!

  18.   José Fos dijo

    Txu:
    Si tienes el iPhone alimentado no hace falta que esté la pantalla encendida, se conecta a la wifi el solito (si previamente se ha conectado a ella claro está).

  19.   Bit 64 dijo

    Hola es normal que no me deje escribir la contraseña despues de escribir el usuario???? gracias

Escribe un comentario