Menú principal

viernes, 30 de enero de 2015

Un Hack de Latch para contralar accesos en Apple iCloud

Muchos usuarios han sido víctimas de sesiones olvidadas que quedan abiertas y hoy nuestro compañero de Eleven Paths, Javier Espinosa, nos presenta un "hack" para proteger las sesiones abiertas en iCloud. Tal y como mostró en otro "hack" para proteger sesiones en Facebook, la idea es muy similar, salvo que en iCloud no se puede elegir sobre qué sesión queremos cerrar exactamente, al contrario que en Facebook. Lo primero ha sido ver como iCloud nos ofrece una vista dónde poder forzar el cierre de sesiones que se encuentren abiertas en todos los navegadores, independientemente del número de sesiones.

Esto es fácil, cuando iniciamos sesión en iCloud y navegamos a settings nos encontramos con un enlace que muestra el mensaje "Datos y Seguridad". Pulsando sobre dicho enlace accedemos a una ventana similar a la de la imagen, dónde se puede realizar la acción de cierre de todas las sesiones abiertas en todos los navegadores.

Figura 1: Cerrar todas las sesiones en iCloud

Una vez tenemos la idea de dónde se cierran las sesiones, vamos a proceder a pensar en la idea para protegerlas. Realmente es sencillo, cuando cerremos el cerrojo tendremos una aplicación que esté consultando el estado para, una vez que se comprueba que el cerrojo esté activo, lanzar nuestro script el cual entrará en iCloud y realizará las distintas acciones necesarias para cerrar todas las sesiones abiertas en los navegadores. La idea es clara y sencilla, implementable por cualquier usuario.

Figura 2: Generación de aplicación en el área de developers de Latch

Para comenzar hay que crear una aplicación en el área de developers de Latch. Necesitamos el Secret y el AppID para poder utlizarlos en la aplicación que generaremos para controlar el cambio del cerrojo de Latch.

Figura 3: Ejemplo de código Selenium

Con la aplicación ya creada, o bien utilizando llamadas cURL o con los SDK de Latch, podemos ejecutar nuestro script de pareado donde se emparejará nuestra cuenta de Latch con la nueva aplicación. Con Selenium podemos automatizar las acciones que se realizarían por parte de un usuario para cerrar sesiones en todos los navegadores. A continuación, se puede visualizar un ejemplo de código para llevar a cabo la operativa.


Figura 4: Vídeo demostrativo del hack de Apple iCloud para Latch

Finalmente, y para ejemplificar todo el trabajo realizado, Javier Espinosa ha preparado el siguiente video dónde podemos ver toda la operativo y el cierre de sesiones de iCloud, una vez que el usuario activa Latch.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares