Recientemente usuarios de
iPad y
iPhone de Australia y Nueva Zelanda despertaron con un extraño mensaje que decía:
"Dispositivo Hackeado por Oleg Pliss. Para desbloquear el dispositivo...". Al parecer esta persona está pidiendo entre
50 y 100 dólares mediante un pago por
PayPal para desbloquear el dispositivo.
¿Es un nuevo tipo de Ransomware? Pues todo hace indicar que al menos no es como lo conocíamos. Por lo que se sabe sobre el asunto, los dispositivos no están infectados con
malware, pero parece que el atacante ha conseguido apoderarse de las credenciales de acceso de
Apple iCloud de las víctimas y ha bloqueado los dispositivos de forma remota.
Hay que recordar la noticia de la semana pasada sobre el
bug de iCloud que permite bloquear o desbloquear los dispositivos, pero en este caso parece que no ha sido a través de dicho
bug, si no por un robo de credenciales, que parece que tiene que ver más con un servicio que sea popular en
Australia y
Nueva Zelanda que con la propia
Apple
Como se ha dicho las denuncias han aparecido principalmente en
Australia, y los menos en
Nueva Zelanda. ¿Qué ha ocurrido? El problema de los ataques basado en el cloud son dificilmente rastreables e identificar y enjuiciar es altamente complejo. En
Australia se está debatiendo qué es lo que ocurre y cómo ha ocurrido. En el
blog de Naked Security dan buenas preguntas y respuestas al asunto.
¿Podría ser un efecto del reciente incidente de seguridad de eBay?
Después del hack de 2013 de Adobe, muchas contraseñas fueron recuperadas de la base de datos. Esto fue, en parte, debido a que los usuarios utilizaron contraseñas no complejas ni con un mínimo de seguridad. Servicios com Facebook tomaron la precaución de poner a prueba las contraseñas reveladas por incumplimiento de Adobe contra los propios usuarios de la plataforma. Los resultados fueron los esperados, es decir, muchos usuarios utilizaban la misma contraseña, con la característica de que era fácil de adivinar.
|
Figura 1: Mensaje de Hacked by OIeg Pliss enviado por Find My iPhone |
Pero este vector parece que no ha sido el utilizado, ya que algunos usuarios que han informado del ransomware no tenían cuentas de eBay, por lo que no sería posible que a partir de esta contraseña se accediese a la cuenta de iCloud.
¿Podría ser un ataque MiTM?
Algunos foreros sugieren que una posibilidad es que debido a fallos de seguridad en iTunes o iCloud, los cuales permiten a usuarios maliciosos engañar a los dispositivos para que visiten un sitio de inicio de sesión falsa, ya que nos encontramos en medio de la comunicación. Entonces los nombres de usuario y contraseña de Apple podrían haber sido capturados.
Pero siendo realistas, los agujeros de seguridad referentes a Apple iTunes fueron descubiertos hace más de un año, por lo que todos los dispositivos afectados estarían ejecutando una versión antigua de iOS, hecho muy poco probable.
¿Podría haber un MiTM contra un proveedor de Internet en Australia?
Como el rescate del ransomware se encuentra muy localizado, entre Australia y Nueva Zelanda, se puede entender que un ataque MiTM contra el proveedor de Internet haya causado el incidente. Esto explicaría por qué los inicios de sesión de iCloud han podido ser secuestrados en una sola parte del mundo, y por qué los usuarios no darse cuenta de que estaban visitando servidores no legítimos.
Pero, lamentablemente, tampoco parece haber ningún patrón que confirme esta suposición. Además, al menos una persona que reportó el incidente era un usuario australiano que actualmente se encuentra en Londres, y el cual se conecta a través de un proveedor de Internet en el Reino Unido.
¿Podría ser Jailbreaking?
Australia fue el primer país en el que se encontró
malware para
iPhone. El famoso
Ikee que se limitaba a los dispositivos con
Jailbreak. Por desgracia,
no todos los usuarios que han formado parte de este incidente tienen jailbreak realizado a su dispositivo.
Todas las preguntas que van surgiendo en torno a este incidente no parecen ser viables del todo, por lo que el misterio continua. ¿Qué pueden hacer? La verdad que al no saber como sucedió el incidente no es fácil tomar decisiones, pero si que hay ciertas cosas claras:
- Parece que las credenciales fueron robadas.
- El uso de verificación en dos pasos hubiera ayudado a evitar este incidente.
- En 2012 hubo un incidente similar, pero el cual acabó con la eliminación remota de los dispositivos.
- En el peor de los casos las víctimas deberán realizar un reset y "modo de recuperación" del dispositivo, eliminando todas las aplicaciones y datos.
- Si la víctima tiene una copia de seguridad en iTunes se puede recuperar utilizando dicha copia de seguridad.