#CodeTalks4Devs: Dirtytooth - Instalación en tu Raspberry con un paquete DEB

El próximo 1 de noviembre nuestros compañeros Pablo González y Álvaro Nuñez-Romero nos hablarán, en un nuevo Code Talk for Devs, sobre la implementación de Dirtytooth en una Raspberry Pi a través de un paquete DEB que hemos generado para vosotros. En el webinar se detallarán los pasos y el código utilizado para llevar a cabo el proyecto. Además, se mostrarán ejemplos de uso y cómo la Raspberry Pi puede obtener datos interesantes de iOS. El proyecto Dirtytooth proporciona más información en su web.

Dirtytooth es un hack para iOS que se aprovecha de la gestión de los perfiles Bluetooth realizada por el sistema operativo. Con Dirtytooth hay un impacto en la privacidad de los usuarios que utilizan la tecnología Bluetooth en su dispositivo iOS diariamente. Este hack permite extraer información como datos de contacto o las llamadas realizadas por el usuario.

Figura 1: ElevenPaths Code Talks for Devs

Además, comentaros que el proyecto Dirtytooth estará en la próxima edición de Black Hat Europe, junto a otra herramienta desarrollada en Eleven Paths denominada UAC-A-Mola. Si quieres saber más sobre Dirtytooth y su instalación en una Raspberry Pi te esperamos el próximo miércoles 1 de noviembre a las 15:30h (CET) en nuestro canal de YouTube y también en nuestra comunidad, donde nuestros expertos estarán disponibles para responder cualquier tipo de duda respecto al webinar ¡Te esperamos!

Las apps bancarias en iOS siguen teniendo debilidades respecto a 2013

La seguridad de las aplicaciones de banca móvil ha mejorado mucho en los últimos años, aunque todavía existe un margen de mejora que se debe cumplir. Se ha publicar por parte de IOActive un reporte en el que se hace una comparativa con el año 2013. En este reporte se pretende observar las mejoras o no mejoras que se han llevado a cabo.

La conclusión que podemos sacar del informe es que la seguridad en las apps móviles ha mejorado en los dos últimos años, aunque las apps siguen siendo vulnerables. La investigación se llevó a cabo sobre 40 aplicaciones de banca para iOS de todo el mundo. La investigación se limito a buscar debilidades de seguridad del lado del cliente, no incluyendo ninguna prueba del lado del servidor. La metodología de pruebas se explica con detalle en el artículo publicado por IOActive. 

Figura 1: Resumen debilidades apps bancarias 2015

Hay 5 de las 40 aplicaciones auditadas que no validaban la autenticidad de los certificados SSL presentados, por lo que son susceptibles a ataques Man in the Middle. Más de un tercio de las aplicaciones contenían enlaces no seguros en toda la aplicación. Esta diferencia permitiría a un atacante interceptar tráfico e inyectar código arbitrario Javascript o HTML en un intento de crear un indicador o entrada falsa para estafas. 

Además, un 30 por ciento de las aplicaciones no validan los datos entrantes dejándolos potencialmente vulnerables a inyecciones de Javascript. Los resultados son una mejora de lo que se vio en 2013, tal y como puede verse en la imagen. Esto llama la atención, ya que en 2015 no es que hayan mejorado mucho, pero como se ve es una mejora respecto al pasado.

Figura 2: Comparativa entre 2013 y 2015

La prueba también cubrió el análisis binario. En esta fase se vio que el 15 por ciento de las aplicaciones almacenan información sin cifrar, como por ejemplo acerca de los clientes, las transacciones de éstos, etcétera. Los ficheros dónde se almacena esta información son ficheros SQLite en texto plano. 

Como conclusiones, el consultor Ariel Sanchez indica que la mayoría de las aplicaciones han aumentado la seguridad de los datos mediante la validación de certificados. A pesar de que los números se han reducido en general, todavía hay un gran número de aplicaciones que almacenan datos inseguros en el sistema.

MacKeeper expuesto: 13 Millones de usuarios y 21 Gb de información sensible pública

El pasado domingo se publicó una de las noticias del mes, y puede que del año en el mundo Apple. El investigador en seguridad Chris Vickery anunció a través de Reddit que fue capaz de acceder a 13 millones de identidades. Estas identidades pertenecían a la empresa propietaria de MacKeeper. No es la primera vez que a esta empresa le ocurren cosas negativas, ya que hay que recordar que hace unos meses se utilizó un bug crítico que se descubrió en el software con el que se infectaba sistemas OS X. 

Según el investigador, los datos eran o son de acceso público, es decir, no existía una contraseña que los protegiese. En otras palabras, él no vulneró el sistema lanzando ningún tipo de ataque, o ningún tipo de exploit. Simplemente, anuncia, que se conectó al servidor de base de datos que se encontraba público y sin protección. La afirmación anterior parece increíble, ya que es un hecho importante. Vickery encontró una debilidad o un error de configuración a través del buscador Shodan. 

Figura 1: Historia en Reddit del investigador

El investigador ha estado en contacto con los desarrolladores de MacKeeper. Según parece ya se han fortificado las bases de datos que eran accesibles desde el exterior y que no tenían, al parecer, autenticación. Según indica la propia empresa, ha tomado medidas para proteger los datos de los clientes y de las amenazas cibernéticas. También informaron que la tarjeta de crédito del cliente y la información de pago nunca estuvo en riesgo, ya que no las almacenan. 

Figura 2: Evidencia de acceso a los 13 Millones de usuarios

El investigador mostró en público la imagen anterior para reflejar el acceso a la información. No se muestra en ningún momento información sensible, pero se puede ver como se accede a la base de datos, en este caso un MongoDB y se tiene acceso a la colección Users. La colección tiene más de 13 millones de documentos, ocupando ésta más de 21 GB. 

BackStab ha vuelto para los dispositivos iOS

La empresa Palo Alto Networks ha publicado el pasado lunes un informe dónde se habla de la vuelta de BackStab. En este informe se pueden encontrar detalles de cómo se realiza este ataque nuevamente. Este ataque es utilizado para robar información privada de los archivos de las copias de seguridad de los dispositivios móviles almacenados en el equipo de la víctima. En líneas generales, el paper publicado por la Unit 42 de la compañía explica cómo se utiliza el malware para infiltrarse remotamente en los equipos y ejecuta ataques BackStab de una nueva forma.

¿Para qué se utiliza este tipo de ataque? Se utiliza para capturar mensajes de texto, fotografías, datos de localización geográfica de las víctimas, y en definitiva cualquier información almacenada en el backup, es decir, que esté en el dispositivo móvil. Las configuraciones por defecto de la tienda de Apple es uno de los puntos que se aprovechan por este tipo de ataques. Tener acceso remoto a la máquina de las víctimas y acceder a los archivos de copia de seguridad no cifradas en ubicaciones fijas o conocidas es un factor importante.

Figura 1: Tipo de malware que utiliza BackStab

En el informe se enuncia que los equipos de seguridad deben darse cuenta que porque una técnica de ataque sea bien conocida, no significa que ya no sea una amenaza. Durante la investigación de Palo Alto se juntaron más de 600 ejemplares de malware a partir de 30 países en todo el mundo que fueron utilizados para llevar a cabo ataques BackStab remotos, dijo Ryan Olson director de Threat Intelligence en la empresa.

Las recomendaciones para los usuarios son diversas, y también se pueden leer del reporte generado por Palo Alto. A continuación se enumeran algunas:

• Los usuarios de iOS deben cifrar sus copias de seguridad locales o utilizar el sistema de copia de iCloud eligiendo contraseña segura y utilizando doble factor de autenticación.
• Los usuarios deben actualizar los dispositivos iOS a la versión más reciendo. Como pudimos ver hace poco esto se está llevando a cabo por parte de los usuarios. En la versión más reciente ya se crean copias de seguridad cifradas por defecto.
• Cuando se conecta un dispositivo iOS a un ordenador, los usuarios no deben hacer clic en el botón Trust cuando aparezca el cuadro de diálogo

Apple se disculpa por el certificado de Mac App Store

Tras lo ocurrido sobre el certificado caducado de la Mac AppStore, Apple ha pedido perdón. A través de una nota a los desarrolladores Apple ha decidido pedir disculpas por los problemas ocasionados a los desarrolladores y usuarios, explicando correcciones del lado del servidor y ofreciendo instrucciones sobre cómo parchear el software afectado. El problema era grave, ya que provocaba que los usuarios vean un error al abrir ciertas aplicaciones, que en algunos casos obligó a volver a descargar dicha aplicación.  El error mostraba como la aplicación no podía ser validada y se podría suplantar dichas aplicaciones.

En la imagen del tweet se puede ver una copia de dicha nota enviada por la empresa de Cupertino. En resumen, Apple dijo que la actualización del certificado de la Mac AppStore fue la causa principal de los problemas de la semana pasada. El nuevo certificado utiliza el algoritmo SHA-2 según la práctica recomendada. La empresa llegó a decir que fue una cuestión de la caché de la Mac AppStore dónde se almacena la información del certificado, y que al quedar cacheado se utilizó el certificado antiguo ya caducado. La empresa indica que el certificado nuevo fue emitido en Septiembre de 2015, por lo que la previsión fue correcta.

Figura 1: Apple responde ante el incidente del certificado caducado

El problema será abordado en una nueva actualización de OS X. La cuestión de la caché se vio agravada por las aplicaciones que utilizan versiones antiguas de OpenSSL no compatibles con SHA-2. Así que no solamente con cambiar el certificado vale, si no que los desarrolladores tendrán que actualizar algunos componentes de sus aplicaciones.

Un error de Apple en la gestión de certificados provoca que los usuarios de OS X tengan que re-instalar aplicaciones

La gestión de certificados digitales en los servidores lleva a que los usuarios tengan que eliminar y volver a instalar todas las aplicaciones que han comprado o descargado de la Mac App Store. Algo extraño ocurrió, pero los usuarios de OS X se enfrentan a problemas con sus aplicaciones, ya que el certificado digital que utiliza Apple para prevenir que le suplanten la identidad o engañen a los usuarios expiró el miércoles. Esto no es la primera vez que le ocurre, y es algo bastante grave y que afecta a todos los usuarios que descargan o compran aplicaciones de su Store.

Las aplicaciones descargadas de la Mac App Store estuvieron temporalmente fuera de servicio en el Reino Unido hace unos días, cuando el certificado de seguridad expiró, 5 años después de su creación y si un reemplazo posible inmediatamente. Incluso, una vez que Apple fijo el error y emitió un nuevo certificado para las aplicaciones, el cual vence el mes de Abril de 2035, los usuarios podrían tener problemas aún. Los que no pueden conectarse a Intenet no pudieron verificar el nuevo certificado, mientras que los que se habían olvidado su contraseña de iCloud no pueden utilizar las aplicaciones descargadas hasta que puedan iniciar sesión. 

Figura 1: Error al arrancar aplicaciones

Algunos usuarios se vieron obligados a eliminar y volver a instalar todas sus aplicacones. Como se puede ver, algunos mostraron su frustración vía Twitter. El certificado caducado fue descubierto por un desarrollador de OS X e iOS llamado Paul Haddad.

Figura 2: Certificado caducado

En definitiva un problema de planificación en Apple. Este tipo de debilidades pueden afectar a la imagen corporativa y afectar gravemente a la seguridad de los usuarios.

[PoC] Explotar un bug de Command Injection a través del cliente Mail de iOS

Hace ya años hablamos de una debilidad en el gestor de correo electrónico que por defecto trae iOS, el cliente Mail. Este cliente permitía al abrir un correo electrónico cargar automáticamente las imágenes, por lo que las etiquetas img en html son ejecutadas por el cliente intentando buscar el origen de la imagen. Ya se mostró en el artículo como era sencillo obtener la versión del sistema operativo de un target, incluso jugando con el ISP podríamos cercar una ubicación.

En el año 2012, un año después del artículo dónde se mostraba la debilidad, Apple decidió quitar esta funcionalidad por defecto, lo cual supuso una mejora de seguridad en el cliente de correo, la cual se introdujo en la versión 6 de iOS.

Carga de imágenes en mensajes de correo electrónico

En muchas ocasiones, hay usuarios que prefieren tener habilitado la carga de imágenes por defecto, y lo ven como una costumbre. ¿Qué se puede llegar a hacer con esta debilidad? Lo que se muestra en este artículo es una combinación fatal en la que gracias a un tercero, en este caso el usuario que abre un email con el cliente de correo de iOS, se puede llevar a cabo un ataque con consecuencias devastadoras para una empresa que tiene alguna que otra vulnerabilidad web, como ya vimos en el ejemplo de explotar un CSRF en el panel de administración de un router, o un ataque SQL Injection en la intranet de la empresa, o un bug en los sistemas de votaciones, así como que te hagan tracking de tu ubicación en todo momento. Hoy veremos un ejemplo con la explotación de un Command Injection

El esquema del ataque es el siguiente:

1. El atacante conoce la existencia de una vulnerabilidad crítica, como es un Command Injection, en un servidor de la empresa target. 
2. El atacante prepara un email para un usuario que utiliza el cliente mail de iOS. Dentro del cuerpo del mensaje existirá una etiqueta img que solicitará una imagen a una fuente, la cual es el servidor vulnerable.

Figura 1: Preparación HTML del correo electrónico

Existe una vulnerabilidad de Command Injection en el parámetro domain de la aplicación web. Aprovechando esto y sabiendo que el atacante quiere la dirección IP que quede registrada en el ataque no sea la suya, y sí la de un dispositivo iOS, se ejecutan 4 instrucciones en la petición al parámetro vulnerable. La primera vuelca un contenido en un fichero en /tmp denominado pay.txt. Este fichero contiene nuestro payload. La segunda instrucción decodifica el contenido del fichero y lo vuelva en un fichero. Este fichero ya es código binario. La tercera instrucción cambia los permisos del fichero binario que acabamos de crear, mientras que la cuarta instrucción ejecuta el código en el servidor remoto. Cuando el binario se ejecute, devolverá el control de la máquina a dónde el usuario que lo generó con el módulo que se verá a continuación haya indicado.

¿Qué es el "chorro" de números y letras que se muestra después del echo y que acaba en un signo "="? Es una Meterpreter en base64. Para generar este tipo de soluciones en ataques web, nuestro compañero Pablo González realizó un pequeño módulo para generar payloads ya encodeados en base64. En su libro de Metasploit para Pentesters podéis encontrar ejemplos como éste en la introducción al desarrollo de módulos para el framework. En la imagen se puede visualizar una prueba de cómo utilizar este módulo, y es realmente interesante utilizar estos códigos en ataques web de tipo CI.

Figura 2: Creación de un payload en base64 con generator_payload_base64

Antes de suponer el envío del email reflejemos el escenario final del ataque. En la siguiente imagen se puede comprobar los pasos a seguir por el atacante y el resultado del mismo si todo va bien. Como se dijo anteriormente hay una serie de condiciones que se deben cumplir, pero el resultado del ataque es crítico.

Figura 3: Esquema global del ataque

Una vez el email se envía, el usuario con iOS lo abrirá. Cuando el e-mail es abierto, y siempre y cuando la opción de carga de imágenes se encuentre activa se realizará una petición al servidor que se indique en el atributo src de la etiqueta img. Si la carga automática no se encuentra activa, el usuario puede decidir cargar las imágenes también, aunque ya requiere acción por parte del usuario.

Figura 4: Obtención de un Meterpreter en un sistema Linux

En definitiva, tenemos que tener cuidado con la carga de fuentes externas, ya que es común que ejecutemos contenido externo de otros sitios web, por ejemplo archivos Javascript que ejecutan código en nuestro navegador.