Weerbericht werft leger gehackte iPhones

Een duo onderzoekers is erin geslaagd een mobiel botnet te maken van bijna achtduizend smartphones. Met een weerberichtapplicatie kunnen ze de controle over iPhones en Androidtelefoons overnemen.

Derek Brown en Daniel Tijerina, twee medewerkers van netwerkbeveiligingsbedrijf TippingPoint, stelden de resultaten van hun experiment voor tijdens het jaarlijkse RSA-beveiligingsforum in San Francisco.

Het duo is in staat gevoelige informatie, gps-coördinaten en telefoonnummers van de geïnfecteerde telefoontoestellen te bemachtigen.

Zandbak
De bewuste applicatie heet WeatherFist en is niet via de officiële kanalen verspreid. Officiële programma’s voor Androidtoestellen en iPhones worden immers eerst gescreend en werken in een beveiligde sandboxomgeving, waardoor ze geen persoonlijke data kunnen openen.

Toch hadden na 24 uur al bijna tweeduizend personen het programma gedownload via websites als SlideME and ModMyi. Ze deden dit met een ontgrendelde iPhone of na het negeren van een beveiligingswaarschuwing op hun Androidtoestel.

WeatherFist maakt gebruik van de gps-coördinaten van de gebruikers. Die worden via een server naar postcodes omgezet, waardoor lokale weersinformatie kan worden aangeboden.

Bad Monkey
Om het gevaar van mobiele botnets aan te tonen, schreef het duo ook een kwaadaardige variant van WeatherFist. Die is in staat om botcode te draaien en heeft toegang tot cookies en contactinformatie. Ook is het mogelijk om met WeatherFistBadMonkey (zo heet deze versie) spam te versturen.

De onderzoekers hebben de kwaadaardige variant alleen op hun eigen smartphone getest en zijn niet van plan de applicatie openbaar te maken. “Niemand krijgt dit programma in handen”, aldus Daniel Tijerina op het RSA-congres.