Menú principal

domingo, 21 de septiembre de 2014

iOS 8: MAC Spoofeada en mensajes WiFi Probe Request

Como muchos ya sabréis, este no ha sido un buen mes para Apple en términos de seguridad: Apple ignorando el 2FA en iCloud, el bug por el cual se podía hacer fuerza bruta a la contraseña de iCloud o el sistema de aletas y recuperación de contraseñas fácilmente replicable para hacer phishing, todo ello culminado por el suceso más mediático sin duda: el leak de fotos de famosas de iCloud. Aun así, con la salida de iOS 8 Apple ha puesto un interés considerable en mejorar la seguridad de su sistema operativo móvil y sus partes, como el motor WebKit de Safari, el Bluetooth o el manejo de datos personales del usuario.

Por ejemplo el acceso a dichos datos por parte de la policía y autoridades es ahora imposible por parte de Apple, ya que según su página:
“En dispositivos con iOS8, tus datos personales como fotos, mensajes (incluyendo ficheros adjuntos), correo, contactos, historial de llamadas, contenido de iTunes, notas y recordatorios se encuentran protegidos por tu contraseña. Al contrario que nuestra competencia, Apple no puede saltarse tu contraseña y por lo tanto acceder a esta información. Por lo que no nos es técnicamente posible el responder a peticiones del gobierno sobre la extracción de datos de dispositivos en su posesión con iOS 8”
Aun así uno de los cambios más peculiares en términos de privacidad ha sido el que los dispositivos con iOS 8, a la hora de buscar redes inalámbricas, generan una Dirección MAC Aleatoria. El problema que se tenía hasta ahora es que muchas empresas, sobretodo de marketing y similares, usaban redes inalámbricas para seguir el movimiento de personas dentro de, por ejemplo, un centro comercial o una zona turística, sabiendo simplemente por la dirección MAC de la interfaz WiFi el fabricante del dispositivo y cuando éste cambiaba de posición.

Ocultar la dirección MAC

Todo esto se conseguía usando un paquete conocido como Probe Request, el cual se lanza cuando un dispositivo busca activamente un punto de acceso específico (por ejemplo un iPhone 5S buscando conectarse a la red de su casa) y podría poner en serio riesgo la privacidad de las personas.

Figura 1: Anuncio de que en iOS 8 los mensajes Probe Request llevarían Mac Spoofeada

¿Qué solución ha encontrado Apple? Lanzar todo Probe Request con una dirección MAC spoofeada. De esta forma ningún punto de acceso (o dispositivo que este escuchando) podrá saber a ciencia cierta si el dispositivo que manda la petición es el mismo que mandó una similar anteriormente. Finalmente, cuando inicia una conexión, la dirección MAC cambia de nuevo a la original del dispositivo. Este cambio proporciona un considerable incremento en la privacidad de usuarios de dispositivos son iOS 8, dificultando el seguimiento de estos dispositivos y haciéndole la vida más complicada a los profesionales del marketing.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares