Menú principal

martes, 16 de agosto de 2011

Robar cuentas Gmail con previsualización SMS de iPhone

A veces, enfrascados en ataques de man in the middle, descifrado de sistemas de almacenamiento o análisis forense de aplicaciones, pasamos por alto algunas de las cosas más importantes: La privacidad básica.

En SpamLoco.Net han publicado un pequeño post que muestra la importancia de configurar correctamente las opciones de los mensajes SMS, que pueden llegar en cualquier momento, incluso cuando estén los ojos de alguien mirando nuestra pantalla. Por defecto, los mensajes SMS se previsualizan en la pantalla, incluso si el terminal está bloqueado.

Figura 1: Mensaje SMS con previsualización activada y sin ella

Robo de cuentas de Google (Gmail, Blogger, Google+, Feedburner, etc...)

Además de generar algún problema personal de índole totalmente personal, tambieén, como cuentan en SpamLoco, alguien podría utilziar esta característica para robar las cuentas de Google si el usuario ha asocidado su número de teléfono a la cuenta, de una forma tan sencilla como solicitar la recuperación de la contraseña por medio de un mensaje SMS. Con esta solicitud, el sistema de comprobación de autenticidad de Google enviará un mensaje SMS con un código que deberá ser introducido para confirmar la autoría de la cuenta.

Figura 2: Código de verificación de Google en SMS

Como se puede ver en esta captura, no es necesario desbloquear el terminal para poder ver el código, siempre que las opciones de previsualización de mensajes SMS estén activadas, por lo que el atacante podría robar la cuenta de Google.

Desactivar la previsualizacion de SMS en iPhone

Si quieres evitar este tipo de situaciones desagradables, basta con que vayas al menú de Ajustes, y en la opción de Mensajes selecciones desactivar la previsualización, tal y como se ve en la imagen siguiente.

Figura 3: Desactivación de previsualización de SMS

Este tipo de vectores de ataque muestran que a veces, los trucos más sencillos son los que mejor funcionan y que la seguridad debe venir por defecto, para evitar todo tipo de situaciones desagradables como ésta.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares