Menú principal

jueves, 27 de julio de 2017

Un bug en iCloud Keychain expone credenciales en texto plano

Recientemente se ha revelado un detalle sobre la seguridad de iOS que a muchos interesará. Muchos lo identifican como uno de los fallos más importantes del año en materia de seguridad. El fallo pone en tela de juicio el keychain de iCloud y cómo éste sincroniza datos confidenciales entre dispositivos. iCloud Keychain ayuda a los usuarios a tener acceso a datos como contraseñas e información de tarjetas de crédito en todos los dispositivos iOS. Sin embargo, se se exponen estos datos estaríamos ante un grave problema de seguridad y privacidad.

El investigador Alex Radocea, cofundador de la empresa Longterm Security, comentó que el error encontrado sería el típico que se buscaría en un sistema de cifrado de extremo a extremo. iCloud Keychain se considera una de las características más seguras para compartir contraseñas, gracias a su implementación de cifrado de extremo a extremo utilizando claves específicas de dispositivos. El fallo no reportado podría haber permitido a un atacante con privilegio extraer datos de los llaveros de los usuarios. Radocea descubrió una forma de evitar el proceso de verificación de firmas, un protocolo que protege contra la suplantación al asegurarse de que los dispositivos se comunican entre sí de forma segura. Esto permitió a Radocea negociar una clave sin pasar por el proceso de verificación, lo que significa que un usuario no sabría que se agregó un nuevo dispositivo.

Figura 1: iOS Data Security

El investigador comunicó que se había podido enviar una firma que estaba mal y se podía modificar el paquete de negociación para aceptarlo de cualquier modo. Una vez dentro, se podía ver todo en texto plano. El problema ha sido arregalo por Apple a principios de año con el lanzamiento de iOS 10.3. Esperamos más detalles sobre esta vulnerabilidad que, sin duda, se ha convertido en una de las que más expectación ha generado. Por otro lado, hay que recordar a BroadPwn, otra de las vulnerabilidades del año solventada en iOS 10.3.3.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares