Menú principal

jueves, 4 de junio de 2015

0day en FTP Media Server para iOS

FTP Media Server
FTP Media Server es una app utilizada por los usuarios de iOS para descargar los videos y fotografías de sus dispositivos iOS sin necesidad de conectar el dispositivo. La app proporciona un servidor FTP, que por defecto escucha en el puerto 5000. La versión disponible en la AppStore es la 3.0 y es ésta la que es vulnerable, por lo que recomendamos que actualicéis rápidamente.En el sitio web Exploit-DB podemos encontrar el exploit que se aprovecha de la vulnerabilidad. En este sitio se detalla que el fallo reside en como se gestiona el uso de comandos no existentes, además de una incorrecta gestión en las conexiones no autenticadas y login incorrectos.

Michael Allen que es el autor del exploit indica que se puede causar la caída de la aplicación debido a la incorrecta gestión de comandos no existentes y realizar un bypass de autenticación debido a la incorrecta gestión del login. El exploit preparado a modo de prueba de concepto permite descargar todas las imágenes que se encuentren almacenadas en el dispositivo, en la carpeta Camera Roll sin necesidad de proporcionar usuario y contraseña.

Figura 1: Exploit para realizar un Bypass de autenticación en FTP Media Server

Como ya hemos visto en Seguridad Apple este tipo de vulnerabilidades afectan a nuestra privacidad, ya que si un usuario se conectase a redes inseguras podría acabar con todas sus fotografías extraídas sin darse cuenta. Algo parecido comentamos en el caso de iFile dónde podiamos automatizar la extracció de datos de los dispositivos.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares