Menú principal

viernes, 18 de mayo de 2012

Análisis de seguriad de Secure Folder Pro: No tan "Secure"

iPhone, iPad e iPod Touch son los dispositivos más promocionados en el mercado de los smartphones y los tablets. Tienen muchas características atractivas, pero una de las cosas importante respecto a la seguridad y uno de los mayores inconvenientes, es la ausencia de seguridad en carpetas, ficheros, y otra información privada que el usuario desea almacenar.

Tras las últimas publicaciones de los sistemas de cifrado de iOS y otras vulnerabilidades, es normal que haya usuarios con cierta preocupación por la protección de sus datos. Así que a raíz de todo esto, y vistas las opciones de seguridad incorporadas por iOS, se puede echar un vistazo al App Store en busca de apps para que implementen algún tipo de cifrado o protección para la info confidencial o secreta de los usuarios.

Por supuesto, allí ya hay muchas aplicaciones, como por ejemplo Folder Lock, Secure Folder Pro, LockTopus, LockDown Pro - de la que ya vimos que su sistema de protección tiene un bug que permite saltarse la protección y que está sin solucionar aún -, etc...

Desde Seguridad Apple hemos pensado en ir analizando a lo largo de varios post estas apps y hacer una pequeña comparativa, de manera que cada uno pueda elegir la que mejor satisfaga sus necesidades, y en este caso, se le ha echado un vistazo a Secure Folder Pro.

Secure Folder Pro, tal y como se anuncia en la web del fabricante, posee características como:
Provee una perfecta seguridad con cifrado de passwords.
Trampa segura (Área de almacenamiento completamente separada, para engañar a los intrusos curiosos).
Icono humilde o discreto (se ve como una carpeta normal).
Utiliza la cámara para realizar y salvar fotos privadas dentro de la aplicación.
Almacenamiento seguro de datos y tarjetas de crédito con cifrado robusto.
Funciona muy bien, con alta velocidad de respuesta, alta resolución y fácil manejo.
Posibilidad de importar/exportar vídeos y fotos desde/a el Mac/PC.
Acceso Wi-Fi para importar gran cantidad de fotos y vídeos.
Creación de albums para fotos y vídeos.
Soporta envío de email con fotos y vídeos.
Soporte Full HD para fotos y vídeos.
Exportar fotos y vídeos al álbum público del dispositivo.
Después de todo este elenco de características, y a juzgar por las capturas que aparecen en la web de la empresa desarrolladora, la aplicación está orientada a aquellos que deseen almacenar de manera segura datos como contactos, fotos, notas, tarjetas de crédito, etc. Sí, ya se, algunos están viendo el uso del ligón o Don Juan de turno, que desea almacenar su “chorvoagenda”, fotos de chicas, o URLs de sus webs porno favoritas, y todo guardado a buen recaudo.

Figura 1: Agenda de contactos y album de fotos de Secure Folder Pro

Quizás lo más gracioso de la aplicación, es que si alguien intenta realizar un acceso y no sabe la contraseña, cuando la aplicación lo detecta, realiza una foto del intruso y la almacena en una base de datos, junto con la fecha y hora y coordenadas GPS.

Figura 2: Historio de accesos y capturas realizadas en intentos no autorizados

Con toda esta larga lista de características, a priori, la aplicación parece muy interesante. Además de que cuenta con un servidor HTTP para trasferir ficheros entre el dispositivo iOS y el Mac/PC, con una clave fake, para demostrar a tu esposa o novia, que no estas almacenando nada que ella no pueda ver, etc…

Almacenamiento no protegido de datos

El gran problema que tiene la aplicación es que si su objetivo es proteger ciertos datos, como fotos, vídeos, etc., esto lo hace siempre y cuando se este intentando acceder desde el propio dispositivo. Pero, si el acceso se realiza a través de herramientas como iFunBox, Oxygen Forensics, o simplemente conectando a través de ssh - siempre y cuando terminal tenga hecho el jailbreak y con la clave alpine por defecto - entonces la seguridad de esta aplicación queda en entredicho, ya que se puede acceder a las carpetas que contienen las fotos y vídeos confidenciales - tanto a la carpeta protegida, como a la carpeta fake -, tal y como se muestra en la siguiente captura. Como se puede observar, los datos no están cifrados, por lo que se pueden visualizar con total normalidad.

Figura 3: Aspecto de las carpetas de la aplicación en el sistema de ficheros

Datos sensibles sin cifrar

Pero lo más grave está por llegar, y es que Secure Folder Pro almacena muchos de los datos a proteger en un fichero llamado data.bin - situado en la carpeta “MyFiles” de la sandbox de la aplicación -, que se puede abrir con un editor hexadecimal, y comprobar que los datos están en plano, tal y como se aprecia en la siguiente captura:

Figura 4: Contenido del fichero bin.data con información en plano

En la captura anterior se aprecian los datos almacenados, referentes al password de la aplicación Evernote, que supuestamente estaban protegidos por Secure Folder Pro. La siguiente captura muestra los datos que el usuario de la aplicación desea proteger:

Figura 5: Aspecto de una contraseña almacenada por Secure Folder Pro

Como se puede comprobar contrastando las capturas, muchos datos son visibles en texto plano, y lo que es más grave aún, y es que aparece en la Figura 4 la contraseña con la que se protege el acceso a esta aplicación, que es este caso es: 1357.

Conclusiones

Como puede comprobar cualquiera después de trastear un rato con ella, la aplicación tiene varios fallos, como que se cierra el servidor web o el servicio HTTP una vez se pone la aplicación en segundo plano, además de algunas otras quejas de clientes en la App Store, como que no se pueden enviar fotos o ficheros - ya que si se intenta, la aplicación se cierra – crash! -, y otros problemas con vídeos de mayor peso, etc. Y con todo esto, aún así está es muy bien situada en el ranking en países como España, Francia o Italia.

Así que toca echar un vistazo al resto de aplicaciones que cumplen con la misma funcionalidad y ver si es posible encontrar alguna otra aplicación, que proteja los datos correctamente. De momento LockDown Pro y Secure Folder Pro no han pasado el examen.

Juan Miguel Aguayo
Autor del libro "Desarrollo de aplicaciones iOS para iPhone & iPad: Essentials"
Nota: Todo esto se ha comprobado con un iPhone 4 (Jailbreak) y un iPhone 4S (Jailed).

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares