Menú principal

viernes, 10 de mayo de 2013

Ataques a la distribución de actualizaciones iOS

En la pasada conferencia SyScan 2013, el conocido hacker Steffan Esser, ha impartido una charla sobre vulnerabilidades en iOS y OS X bajo el título de "Mountain Lion / iOS Vulnerabilities Garage Sale". La presentación muestra 10 fallos de seguridad en diferentes módulos de los sistemas operativos de Apple, pero de ellas, hay una que nos ha llamado la atención especialmente. Se trata del sistema de distribución de actualizaciones que utiliza Apple, bajo el protocolo itms-services.

Como se puede ver en la imagen, con un sencillo iframe es posible engañar al usuario que navegue por una página web para que le muestre la opción de instalar un nuevo software desde Apple, para lo que habría que tener un esquema de man in the middle que permitiera suplantar el dominio apple.com, incluso una JavaScript Botnet.

Lógicamente, dentro del plist que se pasa en el protocolo se indica de dónde se debe descargar el software, y esta ubicación no es necesario que esté dentro de Apple.com, por lo que se puede poner cualquier sitio de Internet.

Figura 1: Inyección de iframe necesario en un ataque man in the middle

Si el usuario tiene hecho el jailbreak, sería posible instalarle cualquier software con que solo pulsara en aceptar, pero si no lo tiene, se podría instalar software firmado o reemplazar apps instaladas sin vulnerabilidades por apps antiguas con vulnerabilidades conocidas.

Figura 2: Configuración en plist del fichero a descargar e instalar

Para hacer este ataque también podría usarse cualquier fallo de redirect que hubiera en la web de Apple, como los que ha tenido ya históricamente el domino Apple.com, evitando la necesidad de que hubiera que montar un esquema de man in the middle.


Por supuesto, la solución para evitar esto es aplicar esquemas de firmado y cifrado de conexiones, que habrá que ver si Apple implementa en futuras versiones, pues se abre una nueva ventana para la instalación de troyanos y software espía similares a los que utiliza FinSpy de FinFisher en otros terminales.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares