De media konden er weer van smullen de afgelopen weken: “ING-klanten doelwit iPhone-worm“, “ING waarschuwt klanten met gekraakte iPhone“, “iPhone riskant voor klanten van ING” waren een paar van de koppen na het bekend worden van de inmiddels derde toepassing die misbruik maakt van de onervarenheid van veel internetgebruikers.
Je zou ook kunnen stellen het een teken is dat het “jailbreaken” van een iPhone inmiddels zo eenvoudig geworden is dat het gevaarlijk wordt. Want met een jailbreak krijg je opties ter beschikking die de iPhone nog meer vergelijkbaar maken met een gewone computer. En daar zitten ook een paar gevaren bij. Zoals het niet aanpassen van het standaard wachtwoord van de SSH-service op je iPhone. Vergelijkbaar met het niet aanpassen van het standaard wachtwoord op je internetmodem/router.
De worm gebruikte overigens een combinatie van methoden om je eventueel toegang tot je ING-account te ontfrutselen. Zo werd je, indien je op je iPhone naar de ING website ging, doorgestuurd naar een nep-website (zo achterhalen ze je gebruikersnaam en wachtwoord voor de ING online bankieren site). Ook probeerde de worm de TAN-codes die via SMS naar je iPhone gestuurd worden af te vangen. Daarmee doorbreekt het de keten van beveiliging bij het online bankieren.
Is jailbreaken daarom gevaarlijk? Ja en Nee.
Op zichzelf is jailbreaken niet gevaarlijk, net zo min als dat het is om met je laptop draadloos online te zijn, om überhaupt online te bankieren.
Maar het kan het wel zijn. Zeker als ik de instructies lees om de worm te verwijderen. Dat is niet iets wat een “gewone” gebruiker zal willen doen. Voorheen was jailbreaken ingewikkeld genoeg om alleen weggelegd te zijn voor gebruikers die wisten hoe ze een commando-opdracht moesten uitvoeren en die snapten dat het ongewijzigd laten van een SSH-wachtwoord onverstandig is.
Het is vergelijkbaar met het niet op slot doen van je voordeur. En tot nu toe zijn er geen echte gaten in de iPhone gevonden, ook niet als er een jailbreak op was uitgevoerd.
Het meest veilig is het om helemaal geen jailbreak uit te voeren. Herstellen van je iPhone/iPod Touch naar een ‘gewone’ versie van de software kan ook nu nog, je kunt nog terug naar de gegarandeerd veilige situatie.
Voor mij zijn deze berichten geen reden om de jailbreak op mijn iPhone ongedaan te maken. Het wijzigen van het SSH-wachtwoord is de laatste (en heel essentiële) stap in het proces van jailbreaken. Dat heb ik gedaan.
De voordelen (backgrounder, gebruik van andere telefoonprovider, live streaming applicaties, aanpassen uiterlijk van de interface) wegen voor mij nog steeds op tegen de eventuele risico’s.
Nu maar hopen dat dit Apple niet van voldoende “bewijs” voorziet om jailbreaken definitief verboden te krijgen.