poruke na kineskom - hackovan apple id account

[kovacm]

Desilo mi se pre par nedelja da moj iPhone posalje poruku na +63 995 669 7445 (+63 je za Philippines), tacnije tri poruke, sa '1'.

Otprilike u isto vreme dobijam poruku na mojim Apple uredjajima da se moj Apple ID koristi na iMac-u (koji nemam).

Dva minuta nakon toga moj iPhone salje 40tak poruka na +86 (kina) brojeve (naizgled random brojeve) istu poruku na kineskom koja sadrzi gomilu teksta, emoji i link ka http://pj989888.com/ (finalna destinacija; rekao bih da je neki kazino u pitanju).


ako ukucate na Googlu "iphone several messages sent to a Chinese number" videcete da se ovo desava sirom sveta negde od jula ove godine.

Nesto vise o tome:

http://www.iphonetricks.org/how-to-fix-the-chinese-imessage-hack/
https://www.reddit.com/r/security/comments/4szi3l/my_iphone_was_just_hacked_by_chinese_text_message/

---

Ono sto se preporucuje, a ono sto nisam imao (niti imam), je 2-step Authentication.

Nemam je iz prostog razloga sto u nasoj usranoj "drzavi" pojedinci koriste mogucnost presretanja SMSova tako da 2-step Authentication moze biti kontraproduktivan jer dajete kljuc drzavi (odnosno pojedincima, sto jeste problem) u ruke.

Ako je neko ne zna o cemu pricam:
https://www.reddit.com/r/serbia/comments/335hhg/kako_je_hakovan_teleprompter/

Teleprometr su "hakovila" tako sto su jednostavno zatrazili promenu lozinke, Google je poslao SMS sa verifikacionim kodom, u mts-u su procitali taj SMS i promenili lozinku. Prilicno jednostavno ako imate "nekog" u MTSu.

"Provajderi se u Srbiji inače takmiče ko će više privatnih telekomunikacijskih podataka da preda na zahtjev:
Međutim prema Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, od 4.400 zahteva za pristup ovim podacima između marta 2011. i marta 2012. samo 50 procenata je praćeno dokumentacijom u kojoj se navodi zakonski osnov po kom se zahteva pristup tim informacijama. Kompanije su navodno omogućile pristup u 90% slučajeva.
Samo jedan od četiri glavna operatera u Srbiji, Telenor, prati da li je izvršen pristup korisničkim podacima. Telenor je objavio da je zabeležio pristup korisničkim podacima 270.000 puta bez saglasnosti kompanije."

 

[kovacm]

Primer:

 

[n1tr0]

Ok - za pocetak cu da pretpostavim da nemas JB uredjaj.
Sada cu opet da ponovim:
1. varijanta - da bi ti neko ukrao Apple ID, moras ili negde da ga ukucas ili da ti negde vidi usera, a onda da bruteforce sifru (neka jako jednostavna sifra ili ista sifra kao user). Dosta ljudi se cesto zezne i ukuca user i sifru na phishing sajtu... U ovom slucaju promeni sifru za iCloud i vozi i ne kucaj je vise na takvim mestima...
2. varijanta - neko ti je provalio u mail - logovao si se sa zarazenog kompa, ili si negde opet na phisher naleteo, ili si mozda na nekom sajtu koristio taj mail za login i istu sifru za mail, a taj sajt je hackovan (ili si opet naleteo na phisher za taj sajt). Napadac je u tom slucaju sa tog mail resetovao sifru za iCloud nalog, i onda si vec u malo zeznutim vodama. U ovom slucaju promeni sifru za email (proveri da ti u podesavanjima, ako si na gmail, mozda i negde drugde ima, nije settovan neki mail da moze da povrati tvoj nalog), a potom promeni sifru za iCloud.

Takodje, proveri i DNS servere (ako si se igrao sa raznim getflixima i cudima gde ide preko njihovih DNS-ova to im omogucava da ti promene da kada kucas tipa facebook.com otvori ti isti sajt, ali na nekom njihovom serveru - phisher) i ako nisi siguran koje da postavis - postavi 8.8.8.8 i 8.8.4.4 (Google DNS-ovi). To neka ti bude prvi korak, drugi neka ti bude brisanje tog app-a sto ti je slao poruke, a treci ovo gore...

 

[PeleZr]

To je screenshot sa tvoga uredjaja? Da nema neke veze sa Tinderom, posto vidim da postoji opcija povratka u tu app?

Najbolje bi bilo da prodjes korake koje ti je @N1tr0 predlozio

 

[kovacm]

Nije app slao poruke vec Apple Message (ili tacnije: kroz Apple Message - sad si mi deo ideju da izvucem log fajlove iz telefona i vidim sta se desavalo...).

Sifra za Apple ID je koliko se secam bila unikatna, nije koriscena na drugim sajtovima ali jeste bila kratko (8 karaktera jer me je mrzelo da je svaki cas kucam na AppStoreu).

Neverujem da sam je ukucao bilo gde osim na apple.com, DNSovi jesu bili Googlovi sve vreme (tek sad sam ih promenio iz drugih razloga) ali ono na sta sumnjam jeste JAILBREAK - i to ovaj poslednji za 9.x.x gde Impactor trazi user i pass od Apple ID kako bi potpisao .app koji sluzi za JailBreak.

Ako nije Imapctor onda je neki .app koji sam skinuo sa AppCakea.


U svakom slucaju, temu sam otvorio kako bi se eventualno javio jos neko ko je imao slican problem.
Na internetu se ljudi zale od juna ove godine, tako da ne verujem da je uzrok Pangu Jailbreak (izasao je krajem jula!)

 

[kovacm]

To je screenshot sa tvoga uredjaja? Da nema neke veze sa Tinderom, posto vidim da postoji opcija povratka u tu app?

Najbolje bi bilo da prodjes korake koje ti je @N1tr0 predlozio

sredio sam sve korake.

sad me interesuje sta se tacno desilo.

nije screenshot sa mog telefona vec sa linka koji sam okacio (okacio sam sliku cista da ljudi prepoznaju o cemu se radi ukoliko su se susreli sa ovim problemom).

 

[kovacm]

Naleteo sam na ovaj tekst, koji nije ono sto se meni desilo, ali ga je interesantno procitati sta je sve moguce:

http://researchcenter.paloaltonetwo...ilbroken-ios-devices-by-abusing-private-apis/

 

[drgonzo]

Bilo je još nekoliko tekstova na ovu temu:
http://www.tomsguide.com/us/iphone-imessage-chinese-spam,news-23703.html
http://mashable.com/2016/10/19/apple-imessage-hack/#Y7pilkvC1iqi

 

[e6111]

Zar se ne podrazumeva backdoor tvorcu alata za self.hack, takozvani jailbreak.