Menú principal

sábado, 30 de noviembre de 2013

Hacking en Android e iOS: Exploits que valen su bug en oro

Ya hemos hablado con anterioridad sobre los concursos de hacking dónde las empresas ofrecen recompensas por romper su seguridad. Hace pocas semanas se pagaron 117.500 dólares por comprometer la seguridad de dispositivos móviles con iOS. El mayor de los tres premios fue de 50.000 dólares pagado a Pinkie Pie, un hacker de 21 años, que ya ha recogido dos grandes recompensas en los últimos 19 meses. Sus acciones anteriores explotaban vulnerabilidades en el navegador Google Chrome, en el que conseguía control total del equipo, ejecución de código arbitrario, con simplemente visitar un sitio web con código malicioso.

En el concurso Pwn2Own Mobile de 2013 que ha finalizado hace un par de semana, se descubrieron ataques contra Google Chrome en Android para conseguir ejecutar código en terminales como Nexus 4 o Samsung Galaxy S4. Lógicamente, Google Chrome implementa como los navegadores modernos, medidas de seguridad diseñadas para reducir al mínimo el impacto del daño que se puede realizar. Cuando los investigadores de seguridad identifican desbordamientos de buffer y otros tipos de errores de software, que son inevitables en las piezas complejas de software, estas medidas de mitigación consiguen que el impacto sea mínimo. Un ejemplo de medidas serían la famosa sandbox, el uso de ASLR y la prevención de ejecución de datos con DEP cobrando protagonismo.

Por otro lado, un equipo de Mitsui Bussan ganó 40.000 dólares por dos hazañas en las que se comprometieron aplicaciones que se instalan en todos los dispositivos de Samsung. Después de que el dispositivo visita un sitio web malicioso, estos chicos fueron capaces de acceder a los datos confidenciales almacenados en el dispositivo, incluyendo los contactos del usuario, marcadores, historial de navegación, imágenes o mensajes de texto.

Trabajadores de HP, que son patrocinadores del evento Pwn2Own, han reportado también vulnerabilidades a través de un informe, realizando pruebas de intrusión a unas 2.000 aplicaciones de iOS. Es un informe realmente interesante dónde queda reflejado el estado de la seguridad en el desarrollo de aplicaciones de las empresas. Además, el equipo de HP identificó alguna vulnerabilidad en terminales Samsung, reportadas en privado a la marca.

Figura 1: El equipo Chino que ganó el Pwn2Own hackeando iOS

Por último, un grupo de China consiguió 27.500 dólares por dos hacks a iPhone en las que explotaban vulnerabilidades en el navegador Apple Safari. Uno de los ataques consigue capturar una cookie autenticada de un dispositivo iOS 7.0.3. El uso de la cookie de autenticación robada de forma remota, permite al usuario malicioso utilizar dicha cookie en otro dispositivo iOS y acceder a la cuenta.

Otra vulnerabilidad diferente se encuentra en el navegador Apple Safari en iOS 6.1.4 permitió a este grupo acceder a las fotos almacenadas en el dispositivo, de nuevo con solo visitar un sitio web malicioso. El exploit que desarrollaron sólo obtuvo un premio menor, ya que no conseguían saltarse la sandbox.

Figura 2: Según el New York Times, un exploit de iOS puede haberse vendido por 500.000 USD

Como podemos ver las motivaciones para los hackers son infinitas, y éstos consiguen que hacer algo dif´cil parezca fácil. Hoy en días, las vulnerabilidades en dispositivos Android e iOS son las más cotizadas, debido a su escasez y el número de dispositivos que ya existen en el mundo. Algo está claro, con la suficiente motivación y tiempo los dispositivos móviles no son invulnerables.

viernes, 29 de noviembre de 2013

Actualización de Firmware versión 7.7.2 para AirPort Extreme y Estaciones base AirPort Time Capsule

Figura 1: Actualización del firmware 7.7.2 para AirPort Extreme y estaciones base AirPort Time-Capusule

La semana pasada Apple publicó una nueva versión, la 7.7.2, del firmware que utilizan los dispositivos AirPort Extreme y las estaciones base de AirPort Time Capsule. Según se explica en los detalles de esta nueva versión se han corregido principalmente tres problemas:
- Evita que un disco duro conectado por USB a una unidad AirPort Extreme aparezca como un disco disponible para Time-Machine.

- Resuelve un fallo que hacía que se perdiera la conectividad de forma intermitente en conexiones WAN.

- Resuelve un fallo que hacía caer en un ciclo de red al dispositivo.
En este caso ninguno de los problemas tenía que ver con seguridad - aunque si con disponibilidad - pero en cualquier caso te recomendamos que instales esta nueva versión cuanto antes.

jueves, 28 de noviembre de 2013

Malware para Mac OS X y exploits del CVE-2009-0563

En el blog Contagio, donde habitualmente hacen recopilaciones de muestras de malware, han recopilado 75 muestras de malware distintas para sistemas Mac OS X y 25 muestras de exploits para el CVE-2009-0563 que se ha utilizado en esquemas de ataque basados en documentos Office para Mac. El paquete está disponible para descarga desde el blog de Contagio. donde se puede acceder a todas las muestras que van recopilando de malware para OS X o a paquetes antiguos de malware para Mac OS.

Entre las piezas de malware que han recopilado están:
OSX_AoboKeylogger, OSX_BackTrack-A, OSX_Boonana, OSX_ChatZum, OSX_Clapzok, OSX_Crisis, OSX_Dockster_Backdoor, OSX_FkCodec, OSX_Flashback, OSX_Fucobha_IceFog , OSX_GetShell, OSX_Hacktool_Hoylecann, OSX_HellRaiser, OSX_HellRTS, OSX_Hovdy_Backdoor, OSX_Inqtana, OSX_Iservice, OSX_Jahlav, OSX_Kitmos, OSX_Lamadai, OSX_Leverage_A_Backdoor, OSX_LocalRoot, OSX_Macarena_A, OSX_MacDefender, OSX_MacKontrol, OSX_Macsweeper, OSX_Miner_DevilRobber, OSX_Olyx_Backdoor, OSX_OpinionSpy, OSX_PSides, OSX_Genieo, OSX_PUP_PerfectKeylog, OSX_Renepo, OSX_Revir, OSX_Safari, OSX_SniperSpy, OSX_Wirenet, OSX_Yontoo y OSXWeapoX
Como podéis ver, muchas de estas muestras de malware ya han pasado por las páginas de nuestro blog, y otras lo han hecho con otros nombres, que ya sabéis que cada empresa de antimalware utiliza su propia nomenclatura. En cualquier caso, si eres investigador es una buena fuente de estudio y si eres usuario de Mac OS X, ya sabes que sí, sí hay malware para Mac OS X - incluso si un iGenius te dice que no en una Apple Store -.

miércoles, 27 de noviembre de 2013

HP: El 90% de las aplicaciones iOS tiene vulnerabilidades

El informe que la empresa HP ha presentado sobre las pruebas de seguridad que han realizado a más de 2000 aplicaciones móviles de iOS ha destapado un secreto a voces, o lo que muchos ya sospechaban desde el boom del mercado de desarrollo móvil. Las apps que se han utilizadas de prueba tienen un uso comercial por unas 600 grandes empresas en 50 países. El informe muestra que 9 de cada 10 aplicaciones, es decir, un 90% tenían serias vulnerabilidadesMike Armistead, vicepresidente y gerente general de HP, dijo que las pruebas se realizaron en 22 categorías distintas de Apple Store, con el foco puesto en herramientas que son utilizadas en business to business, como la banca o el comercio minorista.

HP explicó que el 97% de estas aplicaciones acceden a fuentes de información privadas de manera inapropiada dentro del propio dispositivo, y que el 86% resultó ser vulnerable a los ataques de inyección SQL. Este hecho es algo revelador para el desarrollo móvil, ya que parece que se está generando en grandes cantidades y realizando de manera inadecuada. Las guías de desarrollo de Apple pueden ayudar a los desarrolladores, pero esto no es suficiente para fortificar las aplicaciones, según comento Mike Armistead.

Las aplicaciones móviles están siendo utilizadas para extender la web corporativa en muchos de los casos, y lo que se está logrando es que las empresas abran una mayor superficie de ataque, comentó Armistead. No hay que irse muy lejos, para constatar esta realidad, y hace poco contábamos por aquí la presentación de Alejandro Ramos donde mostraba demostraciones prácticas de apps inseguras para iOS.

Figura 1: Facebook Recover explota el almacenamiento de sesiones inseguras

En su resumen de las pruebas, HP dijo que el 86% de las aplicaciones probadas carecía de los medios para protegerse o fortificar las vulnerabilidades comunes, tales como el uso indebido de las API de cifrado, Cross-Site Scripting y transmisión insegura de datos. El 75% de las aplicaciones no utilizaron técnicas de cifrado adecuadas para el almacenamiento de datos en los dispositivos móviles, lo que deja los datos no cifrados al alcance de un potencial atacante. Un porcentaje alto de las aplicaciones no implementaban SSL/HTTPS correctamente, pero ¿Cómo descubrían los desarrolladores los agujeros de seguridad? Los desarrarrolladores realizaban pruebas de penetración, pentesting

La necesidad de desarrollar aplicaciones móviles de forma rápida para fines de negocios es uno de los principales factores que contribuyen y dan lugar a la debilidad de estas aplicaciones disponibles para su descarga pública. La debilidad que constituye el lado del cliente, está impactando en el lado del servidor también. "Creemos sinceramente que el ritmo y el costo de desarrollo en el espacio móvil ha obstaculizado los esfuerzos de seguridad", dice HP en su informe. Además, "La seguridad de aplicaciones móviles está todavía en su infancia" añadieron.

Si quieres tienes un libro de desarrollo de apps para iOS que enseña buenas prácticas de desarrollo, y además tienes esta conferencia para aprender buenas prácticas con ejemplos.

martes, 26 de noviembre de 2013

Delincuente provoca la Policía en Facebook y lo detienen

Ya sabéis que nos gustan las historias de ladrones que acaban mal para el caco, así que hoy os traemos uno de esos casos en que la tecnología e Internet ayuda a capturar a un delincuente. La Policía de RosenbergTexas, EEUU, se encontraba tratando de capturar a dos hombres de los que se pensaba que se encontraban detrás de los robos de 17 coches en ese mismo estado. Los sujetos Damian y Rolando Lozano estaban detrás de dichos actos delictivos y tras una investigación la policía fue capaz de detener a Damian Lozano, pero su hermano Rolando seguía en libertad. De este modo la polícia llevó a su página de Facebook, la publicación de la foto de Rolando para ver si los usuarios de la red social podía ayudar a encontrarlo.

La sorpresa fue que en lugar de conseguir colaboración ciudadana, el propio Rolando se puso en contacto con ellos provocando a los cuerpos de seguridad. En la siguiente imagen se puede visualizar el mensaje que Rolando dejó a los policías de Rosenberg, retándoles vía Facebook

Figura 1: Mensaje de Rolando a la policía a través de Facebook



La policía contestó a la provocación de "Atrápame si puedes" con un "Request granted" o lo que es lo mismo "Petición concedida". En la siguiente imagen se puede visualizar el post que publicó la policía notificando la detección de Rolando.

Figura 2: Publicación de detección de Rolando

En la nota se puede visualizar como ni 15 minutos después de que Rolando se burlase de la policía, en el sitio web de Facebook de la misma Polícia de Rosenberg, los detectives y patrullas situaron a Rolando en la casa familiar, en la que fue capturado. Además, la policía mostró una imagen de la detención de Rolando y la publicó en su sitio web de Facebook.

Figura 3: Detención de Rolando

La pregunta que muchos se hicieron es si la Policía de Rosenberg detuvo a Rolando gracias a técnicas informáticas aunque en este caso no parece que fuera así, y sí fue por la ayuda de la comunidad. Esto comunicaron en un post de seguimiento que quisieron compartir, donde dijeron que gracias a los detalles proporcionados por la comunidad pudieron atrapar al delincuente en la casa de un pariente.

Esta historia nos recuerda a muchas contadas en Seguridad Apple, como por ejemplo la del fumeta que postea en tu facebook en un iPhone robado, o como iCloud puede delatar a un ladrón, que hay que añadir a las historias de ladrones en modo EPIC FAIL.

lunes, 25 de noviembre de 2013

Apple libera más patentes de Touch ID y el Secure Enclave

El servicio de Apple Touch ID que viene incorporado en iOS 7 para terminales iPhone 5S permite liberar el passcode de desbloqueo del terminal y el la contraseña del Apple ID, cuando se valida la huella dactilar del dueño del terminal utilizando el sensor biométrico. La información para validar dicha huella se encuentra en una zona del microprocesador A7 que llevan incorporados los terminales iPhone 5S que se llama Secure Enclave y de la que se supone que no es posible extraer los datos contenidos en ella. Ahora, gracias a dos patentes liberadas por Apple recientemente se ha podido conocer más detalles de todo el proceso.

La primera de las patentes que han sido publicada el 21 de Noviembre se llama "Efficient Texture Comparision" y explica cómo el microprocesador cuenta con dos partes, una el procesador normal para las aplicaciones y otra zona, el Secure Enclave, que se utilizará solo para analizar si una textura leída por el sensor biométrico es igual a otra.

Figura 1: Utilización de dos procesadores independientes en los chips A7

Para la comparación de los datos, tal y como se explica en el siguiente gráfico, el sensor realiza una captura de imagen de una huella, esta imagen será procesada generando un mapa de la huella dactilar que será enviado al Secure Enclave. Allí se generará un hash a partir de la información de la misma, y se comparará con la lista de hashes que el servicio Touch ID ha generado cuando se configura la primera vez. Esto le permitirá decir si el mapa de la huella que se ha enviado coincide con alguno de los hashes pre-calculados y almacenados en el Secure Enclave.

Figura 2: Gráfico descriptivo de comparación de texturas

Este sistema de comparación de hashes, por supuesto, puede ser hackeado y bypasseado consiguiendo una huella falsa que genere el mismo mapa, tal y como hicieron los miembros del CCC al poco de ser liberado el servicio de Apple Touch ID.

En otra patente, titulada Capacitive Sensor Packaging, se explica más en detalle cómo es el sensor que genera el mapa de la huella, y que como se puede apreciar no es nada trivial ni su estructura ni la forma en la que se implementa.

Figura 3: Estructura de montaje del Sensor Biométrico en iPhone 5S

De todas formas, lo que mucha gente no sabía es que el sensor de huellas dactilares puede ser sustituido por un sensor externo, ya que el conector lightning de los terminales permite que se conecte a través de él cualquier dispositivo externo con estas capacidades.

Figura 4: Conexión de escáner externo a un termina iPhone

Entendemos que el uso de sensores externos estará pensado para poder utilizar equipos de mayor precisión o para que pueda ser utilizado el servicio de Touch ID en terminales que no tengan el sensor biométrico incluido, tales como iPhone 5c o iPads actuales.

domingo, 24 de noviembre de 2013

Fue Noticia en Seguridad Apple: 11 a 24 de Noviembre

Como cada dos semanas volvemos para resumir todas las noticias que se han publicado en nuestro blog dedicado a Seguridad Apple, pero también con un resumen de otras noticias relacionadas con el mundo  de la seguridad y las tecnologías Apple. Una lectura resumida pensada para que puedas estar al tanto de las últimas noticias ocurridas de un solo golpe de vista.

Empezamos hablando del astronómico precio que puede llegar a costar un 0day de iOS llegando hasta 500.000 $ según el New York Times, por el contrario Apple no está pagando nada de dinero por el reporte de dichos bugs.

Avanzamos al martes y comentamos como realizar cracking de contraseñas en OS X Mountain Lion 10.8 con la herramienta DaveGrohl, si has perdido tus credenciales o necesitas realizar un análisis forense este post te resultara útil.

El miércoles volvemos con la sorprendente noticia de que Apple libera el código del Apple II a través de Computer History Museum para que pueda ser estudiado con fines educativos. En el artículo también se cuenta un poco más de toda esa parte de la historia de la computación que marco tanto el desarrollo del magnífico Apple II como el futuro de la compañía que a la postre se convertiría en la poderosa empresa de hoy en día.

Al día siguiente hablábamos de una vulnerabilidad descubierta en Mac OS X Mavericks sobre enlaces duros que puede provocar un kernel panic. Apple no ha concedido este comportamiento como vulnerabilidad.

El viernes de la semana pasada analizamos la nueva mutación del malware llamado OSX/Crisis, un malware que se instala de manera silenciosa y funciona sobre Mac OS X Snow Leopard 10.6.x y Mac OS X Lion 10.7 pudiendo recoger audio, imágenes, capturas de pantalla, pulsaciones de teclado y realizar un informe jugoso para el atacante.

El sábado Apple publica iOS 7.0.4 y iOS 6.1.5 para iPod Touch 4 junto con 2 actualizaciones de urgencia para dichas versiones, en caso de iOS 7.0.4 existía un bug que permitía comprar apps sin pagar, algo similar al hack que publico Alexy Borodin para no pagar en in-app purchase. Por otro lado para iOS 6.1.5 (solo para iPod Touch 4ª generación) arregla un fallo de Face-Time.

Un día después hablamos de la polémica filtración de usuarios que ha sufrido MacRumors, en la cual, el atacante consiguió extraer 860.106 cuentas de usuario con sus respectivos hashes de la contraseña en MD5 de los 1.8 millones de miembros registrados. Si tenías cuenta, cambia la password ya.

Empezamos la semana con la victoria de Keen Team en el Pwn2Own donde encontraron varios bugs en Mobile Safari que les permitían robar la cookie autenticada de Facebook en iOS 7.0.4 y robar una fotografía del carrete de fotos de un terminal con iOS 6.1.4.

El martes recomendamos actualizar tu equipo Mac OS X para obtener las múltiples mejoras en los drivers de impresoras y cámaras digitales, ademas de una actualización para Adobe Flash Player que soluciona 2 CVEs críticos, además si usas la herramienta de desarrollo XCode ya puedes descargar la actualización que soluciona los fallos cuando se entraba en modo debug que tenía la anterior versión.

Al día siguiente comentábamos la multa de 17 millones de dólares impuestos a Google por saltarse las preferencias de privacidad del navegador Safari, realizando tracking a los usuarios incluso aunque el usuario especificase su desacuerdo con el tracking.

A mediados de semana alertamos de la llegada de una nueva campaña de phishing realizada vía correo electrónico y con un mensaje muy cutre dirigido a los clientes de Apple iTunes, el cual exigía validar la cuenta de dicho servicio a través de una página web. La web ya está en los filtros anti-phishing de Google Chrome pero por desgracia no en los de Apple Safari.

El viernes recopilamos una serie de demostraciones sobre fallos de seguridad en apps de iOS mal desarrolladas que fueron publicadas por Alejandro Ramos en una conferencia en la Universidad Europea de Madrid.

Por último, ayer sábado, con la llegada del Black Friday, aparecen los correos de spam con sitios de phishing de Apple, así que es necesario tener cuidado con las prácticas de riesgo en las compras online.

Esto es todo lo que publicamos, pero también ha habido muchas noticias que merece la pena que leáis, así que hemos recuperado la siguiente lista de recomendaciones para que estés bien enterado de todo:
- Operadores no quieren aplicar el kill-switch por que reduciría beneficios: El kill-switch le permite a una persona bloquear un terminal robado remotamente. Sin embargo, algunos operadores piensan que eso haría que los ladrones "llamaran menos y usaran menos datos" y reduciría beneficios. La polémica está servida. 
- La carrera criptográfica entre Google y Microsoft: Un buen artículo que resume todas las acciones que las dos compañías están tomando en materia de seguridad para mejor sus sistemas criptográficos. 
- Saber dónde está una persona por un chat de WhatsApp: Curiosa funcionalidad publicada por Luis Delgado y Ferran Pichel que permite forzar a un cliente de WhatsApp para Android a hacer una petición a un servidor web controlado y averiguar su dirección IP de conexión. Más formas para espiar por WhatsApp
- Apple ha publicado la versión de iOS 7.1 para desarrolladores: Aún queda un poco de tiempo hasta que llegue a los usuarios, pero Apple ya tiene que cosas que arreglar en la última versión de iOS publicada. 
- Las tiendas Apple Store implementarán iBeacom: El objetivo es hacer seguimiento de los movimientos de los compradores en las tiendas para saber dónde se mueven, qué les atrae y así mejorar las ventas. Puro bigdata dirigido al mundo del business intelligence. 
- CoinBase, la billetera de BitCoins retirada de App Store: Apple ha quitado la app para guardar bitcoins CoinBase de la AppStore. Esta app sigue disponible en Google Play. 
- Pin Skimmer: Trabajo académico que muestra cómo utilizando sistemas de Machine-Learning y movimiento de imágenes tomadas por un smartphone se puede obtener el passcode un terminal.
Y hasta aquí todo lo que nos ha dado de sí este periodo, esperamos que os sirva para estar informado y que vengáis cada dos semanas a esta sección y todos los días a Seguridad Apple.

sábado, 23 de noviembre de 2013

El Black Friday pasó, no hagas que sea negro de verdad

Apple tiene ofertas especiales para ese día
Llegó el famoso Black Friday norteamericano - incluso algunas empresas de Internet lo aprovechan para rebajar sus precios durante toda la semana. Apple lleva años utilizando este día para realizar un descuento en sus productos, llegando a un 10% en algunos productos. Los phishers aprovechan cualquier evento, festividad o desgracia para aprovecharse mediante el arte de la ingeniería social para realizar fraude online. Vamos a repasar algunas situaciones que se han dado con Apple como protagonista, y algunos consejos para pasar el día comprando de manera segura. 

El último gran evento de Apple, en la keynote dónde se presentó los nuevos iPad y el nuevo sistema operativo OS X Mavericks trajo consigo que en menos de 24 horas ya hubiera phishing. Se aprovechó este evento para realizar un envío masivo de e-mails en el cual se indicaba que el Apple ID había sido "congelado temporalmente" y que se debía volver a habilitar introduciendo las credenciales a través de un enlace. El phishing estaba muy bien diseñado y creado con lo que era viable que muchos de los usuarios de Apple cayeran en el engaño. La única vía recomendada para descargar OS X Mavericks es la Mac App Store dónde se debe introducir el Apple ID y nunca a través de un enlace vía e-mail.

El Apple ID, el objeto de deseo. Es uno de los identificadores más deseados por los phishers por lo que en todos los Black Friday debe cuidarse mucho. Con este identificador muchos usuarios pueden realizar sus adquisiciones a través de la App Store y la Mac App Store.

Muchos phishers no necesitan un evento especial para intentar realizar este tipo de robo, como ejemplo presentamos el caso de la subida de intentos de phishing de Apple en 2013. Se puede decir que este año ha sido negro en términos de phshing para la empresa de Cupertino, y que sus usuarios son foco de los delincuentes y esta misma semana, con anticipación al Black Friday ya teníamos un cutre-spam con phishing.

Figura 1: El cutre-spam pre Black Friday

Este año Apple tuvo problemas de seguridad con el Developer Center, el cual fue hackeado por Ibrahim Baliç. Apple trabajó durante 8 días para solucionar el incidente de seguridad y cuando volvieron a levantar el servicio sufrieron un ataque de phishing. El medio utilizar por los atacantes fue una campaña de spam con un supuesto correo de Apple en el que se informaba del estado del Apple Developer Center. El correo enviado, contenía mensajes no utilizados por Apple, el nombre de la compañía en minúscula. Siempre hay detalles por los que diferenciar el phishing, aunque en algunos casos esos detalles sean mínimos.

Figura 2: Spam de Phishing con Apple escrito en minúsculas
Algunos Consejos

Por último y para disfrutar del Black Friday o cualquier otra fecha de rebajas, ya sea comprando en Apple o en otras compañías, os dejamos una serie de consejos para que vuestra experiencia sea más satisfactoria y segura:
  • Ir de compras por Internet con una tarjeta de débito prepagada, para evitar que los sitios potencialmente maliciosos no puedan utilizar la información de la tarjeta de crédito o información personal.
  • Comprar los artículos directamente en tiendas o sitios de confianza como es el sitio web de la propia Apple y no seguir enlaces recibidos a través de texto, correos electrónicos o medios de comunicación social.
  • No hay que fiarse de los ofertones o negocios que parecen demasiados buenos para ser verdad sobretodo si es un tema "caliente" como puede ser adquirir un iPad por un precio muy por debajo del mercado.
  • Diversifique sus contraseñas. Utilizar la misma contraseña para crear una cuenta en un sitio web que la utilizada para acceder a sus operaciones bancarias comprometería seriamente su seguridad. Este último consejo puede ser realmente lógico, pero se han dado casos.
A ver si entre todos conseguimos que nadie caiga ya en las estafas de Phishing por spam y vemos como dejan de enviar estos mensajes molestos a nuestros buzones de correo electrónico, que bastantes tenemos ya que procesar como para que nos incordien con estos. 

viernes, 22 de noviembre de 2013

Demos prácticas de fallos de seguridad en apps para iOS

En una reciente conferencia sobre seguridad realizada en la Universidad Europea de Madrid, Alejandro Ramos (@aramosf) impartió una conferencia con demostraciones de fallos de seguridad en apps diseñadas para sistemas iOS. La presentación completa la tenéis en SlideShare, y lleva incluidos los vídeos de todas las demostraciones, con lo que se pueden ver no sólo las explicaciones, sino paso a paso los vídeos.


La presentación primero sitúa las vulnerabilidades siguiendo el OWASP Mobile Top Ten Security Risks , para explicar cada una de las demostraciones. Este proyecto, al igual que el OWASP Top Ten que recoge las vulnerabilidades más explotadas en aplicaciones web, cataloga cuáles son los 10 riesgos de seguridad más importantes en las apps diseñadas para dispositivos móviles, y en esa sesión se aplica a las apps desarrolladas para iOS.

Ejemplo 1: App de CINESA

El primer ejemplo es con la app del grupo CINESA destinada a gestionar los puntos de fidelización. En ella, la vulnerabilidad que tiene lugar es que el envío de credenciales de acceso es totalmente inseguro, al enviarse usuario y contraseña por parámetros GET, sin codificación alguna y sin hacer uso de HTTPs. Esto hace que cualquier conexión en una red compartida deje las URLs con los datos de acceso al alcance de cualquiera.

Figura 2: Vídeo de la demostración sobre la app de CINESA

Ejemplo 2: App Runkeeper

El segundo ejemplo que se mostró es con la app Runkeeper, destinada a quienes quieren compartir sus logros deportivos con el resto del mundo. Esta app tiene activado el uso del Apple System Log para el envío de la información de debugging, y entre otra información envía el token OAuth que se utiliza para publicar en Twitter, es decir, cualquier otra app del sistema podría robar este valor y usarlo para publicar twitts con él y hacer spam.

Figura 3: Vídeo demostración sobre la app de Runkeeper

Ejemplo 3: Juego Dark Nebula

En este caso el juego solo desbloquea niveles cuando se han superado las anteriores, pero los niveles se almacenan en local, con lo que es posible manipular el nivel en que se encuentra un jugador, y por supuesto su puntuación.

Figura 4: Demostración con la app del juego Dark Nebula

Ejemplo 4: App de Dropbox

Este ejemplo de almacenamiento inseguro ya lo habíamos publicado por aquí, ya que se trata del PIN de Dropbox que bloquea el acceso a la app. Este PIN está guardado en texto plano y cualquiera puede leerlo y acceder a él.

Figura 5: PIN de la app de Dropbox para iOS almacenado en un plist

Ejemplo 5: Robo de sesión de la app de Facebook

Este caso se debe a que la app de Facebook para iOS almacena cookies persistentes con información de la sesión de usuario. Esto permitiría a cualquier persona con acceso al terminal o al backup, robar una sesión de Facebook. Esto se explica en detalle en el libro de Hacking iOS: iPhone & iPad, y se ha publicado la aplicación Facebook Recover que permite hacer esto con un simple botón.

Figura 6: Facebook Recover

Ejemplo 6: App de cifrado MobiSafe

Esta app permite a un usuario cifrar las fotos con un cifrado robusto, pero el PIN que cifra y descifra las fotos es de solo 4 dígitos y se almacena en formato MD5 dentro de una base de datos SQLite, lo que permite a cualquiera con acceso desproteger cualquier fotografía.
Figura 7: Vídeo demostración con la app MobiSafe

La charla fue muy instructiva y una llamada para la atención a los desarrolladores de apps para iOS. En el libro de Desarrollo iOS: iPhone & iPad se tocan muchos de estos temas para evitar este tipo de errores tan habiutales. 

jueves, 21 de noviembre de 2013

Un cutre Spam que lleva a Phishing de Apple sobre Joomla!

Ayer se lanzó una campaña masiva de spam con un cutre mensaje de correo electrónico para los clientes de Apple iTunes. El mensaje era tan absurdamente feo y malo que roza los límites del fracaso. ¿Alguien podría picar en este tipo de mensajes? Pues seguro que sí, dependiendo de dónde sea visualizado el correo electrónico, puede que se alguien pique. Y eso que el remitente del correo es de un dominio como ApplieiD.com

Figura 1:spam con phishing de Apple ID enviado ayer

Una vez que se hace clic en el enlace, el destino es un phishing que pide las credenciales de Apple ID para acceder a los datos de la cuenta. La web ya está detectada por los sistemas anti-phishing de Google Chrome, pero en Apple Safari, a día de hoy no da ninguna alerta de seguridad.

Figura 2: Sitio de phishing activo a día de hoy

Como se puede ver en la barra de direcciones, el sitio de phishing está alojado sobre un hosting, dentro de un servicio CMS basado en Joomla!, por lo que puede que se haya robado una credencial de editor o se haya conseguido explotar una vulnerabilidad para subir el phishing. Si esto se visualiza en un cliente móvil, tiene más posibilidades para triunfar que en los navegadores de equipos de escritorio, por supuesto.

miércoles, 20 de noviembre de 2013

Google multado con 17 M$ por hackear seguridad de Safari

En 2012 el Wall Street Journal destapaba el escándalo en su periódico al publicar cómo los sistemas de publicidad de Google utilizaban un sistema especial para saltarse las opciones de privacidad en Apple Safari, que les permitía hacer tracking de los usuarios. Esto permitía a anunciantes conocer de dónde provenía un usuario o a dónde iba, por lo que podía hacerse ingeniería de marketing para subir o bajar los precios, por ejemplo, en función de los sitios que se hubieran visitado antes.

Google fue pillado, y cambió sus sistemas, Apple Safari se fortificó, y ahora faltaba por conocer cuál sería la sentencia a la que condenarían a Google, pero ya la sabemos. 

Figura 1: Esquema de tracking de usuarios de Apple Safari usado por Google

Según Apple Insider, la sentencia ha salido este lunes y el pago al que ha sido condenada la compañía ha sido de un total 17 Millones de dólares americanos, algo que para Google seguro que no es ni dinero, pero que esperemos sirva para no volver a realizar este tipo de prácticas en el futuro.

martes, 19 de noviembre de 2013

XCode 5.0.2, impresoras, cámaras digitales y Adobe Flash

Tal y como el título de este artículo recoge, hay que volver a preocuparse de las actualizaciones de software de nuestros equipos Mac OS X, ya que se hay nuevas compilaciones que deben aplicarse. Esta es la lista de productos que debes instalar en cuanto puedas.

XCode 5.0.2

Si estás desarrollando apps para iOS o para Mac OS X, entonces debes actualizar a la última versión de XCode 5.0.2, ya que trabajando con el simulador, instalando apps o haciendo debugging, se producían bastantes caídas del programa. Ahora han sido solucionados y está disponible la nueva versión en la Mac App Store.

Figura 1: XCode 5.0.2

Drivers de impresoras y Cámaras digitales

Para los equipos Mac OS X se han publicado los siguientes drivers que mejoran el funcionamiento de las impresoras siguientes y la compatibilidad con una gran cantidad de cámaras digitales:
- FujiXerox Printer Drivers v2.5 for OS X
- Samsung Printer Drivers v2.6 for OS X
- Digital Camera RAW Compatibility 5.01
Adobe Flash Player

Adobe también ha publicado un boletín de seguridad, y después de todo lo que ha pasado con la brecha de seguridad que se ha llevado por delante su base de datos de clientes con sus contraseñas, lo mejor es preocuparse por la seguridad e instalar la nueva versión de Adobe Flash Player para Mac OS X, que soluciona 2 CVEs críticos.

lunes, 18 de noviembre de 2013

Pwn2Own: Mobile Safari en iOS 7.0.3 e iOS 6.1.4 hacked

Hace poco que  hemos hablado de las actualizaciones iOS 7.0.4 y de iOS 6.1.5 y alguno puede pensar que estas arreglan los dos bugs que han sido explotados con éxito en la competición de Pwn2Own que está teniendo lugar en la PacSec de Tokio, pero no es así. Los equipos de seguridad de Google y Apple están avisados y se espera que estén resueltos en la próxima versión de iOS.

El equipo que consiguió los bugs fue el Keen Team, formado por 8 investigadores de seguridad chinos que encontraron los bugs en Mobile Safari. Con ellos fueron capaces de robar la cookie autenticada de una sesión en Facebook en iOS 7.0.4 y robar una fotografía del carrete de fotos del terminal en un iOS 6.1.4, aunque no fueron capaces de romper la sandbox, por lo que se llevaron solo el 50% del dinero de los 27.500 USD de premio.

Figura 1: Miembros del Keen Team mostrando la foto robada de iOS 6.1.4

En ambos casos los exploits fueron de tipo client-side y explotados vía la pulsación de un enlace, por lo que se necesita algo de ingeniería social para entrar en la web del atacante, o se hace necesario atacar a un sitio web que vaya a ser visitado para preparar un watering hole attack.

domingo, 17 de noviembre de 2013

Robo de credenciales a los usuarios del foro MacRumors

El popular foro de noticias y rumores dedicado a dar información sobre tecnologías AppleMacRumors, ha sufrido una intrusión y el atacante ha conseguido extraer 860106 cuentas de usuario con sus respectivo hashes de la contraseña en MD5 de los 1.8 millones de miembros registrados.

Figura 1: Confirmación del incidente de seguridad en MacForums

MacRumors lo ha anunciado públicamente y el responsable del foro Arnold Kim pide disculpas, ya que la filtración se produjo porque el atacante tuvo acceso a una cuenta de moderador y a partir de ahí fue escalando privilegios hasta llegar a poder extraer la base de datos de los usuarios, un caso parecido a lo ocurrido en los foros de Ubuntu

Más tarde el atacante respondió en el mismo foro donde mostraba parte de la contraseña de Arnold Kim, además de explicar cómo habían realizado el ataque, utilizando bugs conocidos de versiones antiguas de vBulletin. Se destacaba que del total de usuarios extraídos, todavía había 488429 cuentas que conservaban 3 bytes de salt, algo que solo seria cuestión de tiempo y diccionarios llegar a descifrar. En cualquier caso el atacante explicó que no iban a publicar nada porque no era "divertido".

Figura 2: Mensaje del atacante para Arnold Kim

Desde MacRumors sienten los inconvenientes y van a trabajar rápidamente para solucionar el incidente de seguridad y evitar que éste se repita, pero como se puede ver todo el mundo es objetivo de los ataques en Internet. Hace ya algún tiempo, hablábamos de otro incidente en otro foro de Apple, en este caso fue MacProgramadores, que sufrió el acoso de los spammers.

sábado, 16 de noviembre de 2013

Apple publica iOS 7.0.4 & iOS 6.1.5 para iPod Touch 4

Llegando este viernes a la mayoría de los dispositivos de Apple - como ya es tradición en la compañía para que lo actualicemos en fin de semana - se han publicado dos actualizaciones de urgencia para la rama iOS 6.x en iPod Touch 4ª y para iOS 7.x, así que aprovecha y ponlos al día.

iOS 7.0.4

En el caso de iOS 7.0.4 el problema es un bug de seguridad que permite a usuarios realizar compras de apps o compras dentro de las apps con el sistema de in-app purchase sin pagar. Algo similar suponemos al hack que publicó Alexy Borodin para no pagar en in-app purchase, que luego se extendió también a la tienda de Mac App Store como se ve en este PoC.

Figura 1: Security Advisory de iOS 7.0.4

En esta actualización no se habla de si se ha mejorado el problema de privacidad que permite a las apps acceder a las fotos en alta calidad a través de la aplicación de FaceTime. Es un pequeño bug de privacidad que afecta a iPad 2 publicado en Bugtraq, que no sabemos si está resuelto.

iOS 6.1.5 (solo para iPod Touch 4ª Generación)

En el caso de la rama de iOS 6, la actualización a la nueva versión iOS 6.1.5 arregla un fallo con de estabilidad de Face-Time que hace que algunos usuarios con iPod Touch de 4ª Generación tengan problemas para hacer llamadas con este sistema.

Figura 2: iOS 6.1.5 disponible para descarga

En esta rama no se ha publicado información de seguridad, así que suponemos que el bug de compras de apps o de in-app purchases de la App Store arreglado en iOS 7.0.4 no le afecta.

viernes, 15 de noviembre de 2013

Nueva mutación del malware OSX/Crisis descubierta

Últimamente el mundo de la informática se mueve en un entorno conspiratorio en el que nadie se fía de nadie. Asuntos como el de la NSA y PRISM alertan al gran público sobre si Internet es un Big Brother de los gobiernos. La gente de Apple no se queda al margen de estas sospechas y un nuevo sistema de control remoto, Spyware Hacking Team, aterrizó en Virus Total con una tasa de detección de 0 de 47 escáneres, aunque ahora ya lo detecta alguno.

Figura 1: Actualmente esta nueva mutación es reconocida por un antimalware

Intego descubrió este malware que se instala de manera silenciosa y funciona sobre Mac OS X Snow Leopard 10.6.x y Mac OS X Lion 10.7 . En función de si el malware se instala en una cuenta con permisos de administrador realizará unas acciones u otras. Por ejemplo, si se instala como administrador, ejecutará un rootkit para ocultarse. En cualquier caso, se crean una serie de archivos, el cual especificamos más adelante, los cuales utilizarán para llevar a cabo sus tareas.

Figura 2: Estructura de infección multiplataforma del malware Crisis

Este malware fue bautizado anteriorementecomo OSX/Crisis, y fue utilizado algunos gobiernos en ataques dirigidos. El malware - totalmente multiplataforma - es capaz de recoger audio, imágenes, capturas de pantalla, pulsaciones de teclado y realizar un informe jugoso para el atacante el cual es enviado a un servidor remoto y se hizo popular por poder infectar máquinas virtuales y terminales móviles. Se sabe que se distribuye a través de kits de explotación en el mercado negro.

En el código de OS X/Crisis.A se encuentra una sección dedicada que que hace llamadas de bajo nivel (o al sistema) para desplegar el malware, una backdoor y su configuración cifrada.

Figura 3: Ingeniería Inversa del Malware

Para evitar la detección de antivirus el backdoor se encuentra ofuscado con un packer denominado MPress. Se puede utilizar un debugger como GDB o un framework como Volatility para volcar los binarios desempaquetados. Completar el análisis está siendo algo complejo, pero ya hay extractos en Internet del archivo de configuración descifrados.

Figura 4: Extracto de archivo de configuración descifrado

Como se puede visualizar en la imagen anterior, las máquinas infectadas tienen razones para comunicarse con la dirección IP 176.58.121.242. Si como usuario de OS X sospechas que puedes estar infectado por este tipo de malware, te recomendamos que vigiles la existencia de estos archivos en tu sistema:
  • Library/LaunchAgents/com.apple.UIServerLogin.plist
  • Library/Preferences/2Md1ctl2/0T4Nn2U0.tze
  • Library/Preferences/2Md1ctl2/5KusPre5.vAl
  • Library/Preferences/2Md1ctl2/Contents/Info.plist
  • Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/Info.plist
  • Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/MacOS/9uW_anE9.cIL
  • Library/Preferences/2Md1ctl2/hFSGY5ih.rfU
  • Library/Preferences/2Md1ctl2/q45tyh
  • Library/Preferences/2Md1ctl2/WaAvsmZW.EMb
  • Library/Scripting Additions/UIServerEvents/Contents/Info.plist
  • Library/Scripting Additions/UIServerEvents/Contents/MacOS/0T4Nn2U0.tze
  • Library/Scripting Additions/UIServerEvents/Contents/Resources/UIServerEvents.r
Recuerda que lo mejor para evitar es este tipo de amenazas es realizar un control preventivo del software de tu equipo Mac OS X, además de tomar hábitos seguros de utilización de tu sistema en Internet.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares