Este nuevo ataque phishing permite bypassear 2FA

Desde hace unos años los dobles factores de autenticación nos han ayudado a proteger nuestra identidad digital de una forma rápida y sencilla. A pesar de la dura capa de seguridad que resultan ser los 2FA unos expertos han demostrado que no son completamente infalibles y es posible engañar a una víctima para que revele sus credenciales e incluso facilite su código OTP. Este ataque se demostró por primera vez en la conferencia Hack in the Box que tuvo lugar en pasado mes en Ámsterdam. El video de la demostración fue publicado en YouTube y busca resaltar el hecho de los ciberdelincuentes son cada vez mejores rompiendo las capas extra de seguridad a pesar de que usemos herramientas como 2FA.

El hack empleado en la demo para romper 2FA utiliza una combinación de dos potentes herramientas llamadas Muraena y NecroBrowser, las cuales trabajan en tándem para automatizar el ataque. La combinación de estas dos herramientas trabaja a la perfección ya que una realiza el ataque y la otra realiza un seguimiento de la sesión de la víctima. Muraena es la herramienta encargada de capturar el tráfico entre la víctima y el sitio web actuando como un proxy. Una vez que Muraena lleva a la víctima hasta una página falsa (de aspecto similar a la auténtica) solicitará a los usuarios sus credenciales y el código OTP, al igual que lo haría la página original. En cuanto Muraena ha autenticado la cookie de la sesión comienza el trabajo de NecroBrowser, una herramienta capaz de crear ventanas para mantener el seguimiento de miles de cuentas.

Figura 1: Demostración del ataque en la conferencia Hack in the Box

Su autor también ha publicado en GitHub una demostración del ataque para que otros desarrolladores puedan analizar cómo funciona detalladamente. Varios expertos en el ámbito de la ciberseguridad han asegurado que estas herramientas facilitan mucho el trabajo a los atacantes “amateur”. También han querido resaltar que no hay razones para perder la confianza en los dobles factores de autenticación o en la biometría ya que dificultan mucho el trabajo de los atacantes y son una mejor alternativa que utilizar únicamente un usuario y una contraseña. Independientemente del método que escojas para proteger tus cuentas desde Seguridad Apple queremos recordarte la importancia de una rápida actuación si sospechas que alguna de tus cuentas puede haberse visto comprometida.

Unc0ver Jailbreak en iOS 12

El día que todos los amantes de jailbreak esperaban ya ha llegado, el equipo de Pwn20wnd ha lanzado la versión 3.0.0 de Unc0ver para iOS 12. Esto significa que si dispones de un iPhone, iPad o iPod Touch que corra una versión de iOS comprendida entre iOS 12.0 e iOS 12.1.2 podrás adquirir la última versión de Unc0ver y disfrutar del primer jailbreak público de iOS 12. La única limitación a la hora de obtener esta versión de jailbreak es que por el momento solo está disponible para los dispositivos con los procesadores comprendidos entre el A8X y el A11, aunque en un futuro no muy lejano se añadirá soporte para los nuevos dispositivos que incorporan el A12.

Esta nueva versión del famoso jailbreak no tiene problema para en usar Cydia y además ofrece soporte para el mismo en iOS 12, lo que quiere decir que todos los tweaks que se encuentran en la tienda han sido actualizados y podrán ejecutarse con total normalidad ofreciendo todas sus funcionalidades. Obtener este jailbreak es muy sencillo, solo tendrás que bajarte el archivo IPA desde el GitHub oficial de Unc0ver y utilizar el Cydia Impactor para instalarlo correctamente.

Figura 1: Instalación de Unc0ver Jailbreak

Para instalar este jailbreak es de vital importancia borrar el archivo OTA descargado desde los ajustes y reiniciar el dispositivo, ya que de no hacerlo al “liberar” tu dispositivo podría sufrir un bootloop. Si ya actualizaste tu dispositivo a iOS 12.1.3 no te preocupes, todavía estas a tiempo de hacer un downgrade a iOS 12.1.1-b3, aunque en esta peculiar versión del sistema operativo es posible que algunos de los repositorios de Cydia no funcionen tan bien como deberían.

Apfell: Framework de post-explotación para macOS para el RedTeam

Apfell es un framework para macOS de post-explotación construido con Python3 y Javascript. Esta diseñado para proprocionar una interfaz colaborativa y fácil de usar para los usuarios y pentesters. Además, es muy útil para los Red Team, así como la generación de informes. La herramienta también se puede utilizar en sistemas GNU/Linux. En este artículo vamos a comentar brevemente el uso de Apfell y se recomienda verlo y probarlo en el Github oficial de la herramienta. 

El servidor con el que se interactúa para utilizar la herramienta se pone a la escucha en el puerto 443 y, por norma general, en la interfaz de red 0.0.0.0. Como se puede ver en la imagen, la herramienta presenta una interfaz sencilla de utilizar y de manejar. Esto es importante a la hora de realizar ciertos trabajos.

Figura 1: Aplicación web de Apfell

Apfell utiliza JSON Web Token, JWT, para la autenticación. Cuando se usa el navegador se almacena sus tokens de acceso y de cookies. Dentro de la carpeta app en el Github oficial se puede encontrar los payloads disponibles de la herramienta. Una herramienta para probar en los sistemas macOS y GNU/Linux que pueden sumar y ayudar a los pentesters en su día a día.

JelbrekTime: Un nuevo jailbreak para watchOS 4.1

Ya han pasado más de 3 años desde el lanzamiento del primer Apple Watch, con la aparición de este dispositivo también apareció la posibilidad de llevar el jailbreak hasta nuestras muñecas. El jailbreak para Apple Watch ofrece a los poseedores de uno de estos dispositivos la posibilidad de mejorar su experiencia de usuario y de hacer que su smart watch sea más personal a través de distintas opciones de personalización, eso sí, todo ello con el riesgo que conlleva realizar jailbreak a cualquier dispositivo, ya que al hacerlo se eliminan algunas de las características de seguridad.

Esta no es la primera vez que aparece un jailbreak de este tipo para Apple Watch, hace un tiempo salió a la luz OverCl0ck jailbreak pero este no adquirió mucha popularidad entre los usuarios. Ahora ha aparecido JelbrekTime, un jailbreak desarrollado por thimstar y que ha sido diseñado para iOS 4.1, haciendo que funcione en la tercera generación de Smart watches de Cupertino. Este jailbreak está preparado para ser modificado y adaptado a futuras versiones de iOS a pesar de que su desarrollador ya haya confirmado que no seguirá trabajando en el proyecto.

Figura 1: Tweet de thimstar acerca de JelbrekTime.

Aunque esta versión no esté enfocada hacia todos los usuarios, ofrece acceso root y la posibilidad de aplicar parches en el kernel. Podréis encontrar todos los detalles acerca de este jailbreak en el readme del Github de thimstar, el cual también contiene las instrucciones de instalación para aquellos que quieran probarlo en sus dispositivos. A pesar de que JelbrekTime no esté listo aun para el público, según su desarrollador todavía está lejos de estarlo, es un paso importante en la búsqueda de un jailbreak para WatchOS que en un futuro pueda incorporar Cydia u otro market en el que descargar tweaks y aplicaciones.

La curiosa historia de cómo un empleado de Apple filtró el código fuente del iBoot y su importancia real

Hace unos días hablamos aquí de una nueva filtración en Apple que afectaba al código fuente del iOS 9 y en concreto del iBoot. Aunque Apple le ha restado importancia al asunto (luego veremos que sí parece que es más importante de lo que se pensó en un principio), ya que este código fuente tiene dos años de antigüedad, si que es importante para ellos saber cómo se ha producido el "leak". Y aquí es donde entra un empleado de Apple que junto a un grupo de amigos perdieron el control de código llegando a publicarse incluso en Github.

Un usuario con el nick "ZioShiba" publicó el código fuente propietario de Apple del componente iBoot (Bootloader) hace un par de semanas en el mayor repositorio de código fuente del mundo, GitHub. iBoot es, entre otras funciones, el responsable de asegurarse que el sistema operativo que está arrancando es original y válido de Apple. Por lo tanto, este código puede ofrecer muchas pistas para futuros jailbreaks del iPhone o su manipulación para incluir malware, eso sin contar que parte de este código se habrá reutilizado seguramente en otras versiones posteriores.

Según la web Motherboard, un empleado de Apple que ellos califican como "low-level" (luego parece ser que hablan de "intern" o becario), ya obtuvo el código fuente de Apple en 2016. Este empleado tenía unos amigos que pertenecían a la comunidad jailbreak y poco a poco le fueron convenciendo a que sacara el código fuente del iBoot, con la excusa de ser muy útil para investigaciones de seguridad. Finalmente este empleado de Apple lo compartió con cinco amigos con la condición de que nunca llegara a salir fuera de este círculo. Pero claro, al final pasó lo inevitable, se filtró y perdieron el control de las copias.

Figura 1. Página de Github donde se observa el usuario ZioShiba y la retirada del código fuente. Fuente.

Parece ser que durante un tiempo (según algunos entrevistados fue un año) el código estuvo dando vueltas dentro de algunos círculos relacionados con el jailbreak. No queda claro desde cuando este código se estuvo compartiendo, pero de todas formas, si es cierto que estuvo en circulación entre 2016 y 2017, hubiera sido de un enorme valor para poder crear exploits y malware asociado al jailbreak para atacar a los usuarios de iPhone durante esa época. Sólo nos hemos enterado de este "leak" cuando el usuario que antes hemos mencionado lo publicó en Github (realmente se publicó primero en Mega pero fue eliminado por los moderadores y luego finalmente en Github).

Apple se defiende argumentando que por diseño, la seguridad de sus productos no depende del secreto de su código fuente,  ya que existen otras capas tanto de hardware como de software que añaden solidez frente a amenazas de seguridad. Sea como fuere, que un empleado normal (sin ningún tipo especial de acceso restringido) sea capaz de tener acceso a este código fuente tan sensitivo es un problema que Apple debería analizar. 

Pero además, parece que la historia no acaba aquí. Según las personas de la web Motherboard que entrevistaron a algunos de esos amigos del empleado de Apple, había más código fuente de otros componentes e incluso algunas herramientas internas de Apple ... estamos seguros que esta historia no acabará aquí. 

Apple dice que el leak sobre el código de iOS 9 no afecta a la seguridad

Sin duda fue la noticia de la semana pasada. El leak de código fuente que sufrió Apple respecto a su sistema operativo iOS. Hay que indicar que parece que este filtrado no afecta a la seguridad de los dispositivos. Apple decidió hacer un comunicado y, primero, confirmar la filtración y, segundo, minimizar la importancia de éste, debido a que el código es anterior. Hay que recordar que durante un breve período de tiempo, del jueves pasado, una sección de código fuente de iOS 9 estuvo ampliamente disponible en Github. Unas horas más tarde, Apple emitió el comunicado y eliminó los depósitos de Github. 

El daño estaba hecho. Una vez que se publica algo en Internet, es casi imposible retirarlo. Hay algunos usuarios que tienen el código en su poder, por lo que el iBoot está en manos de ellos. Algunos estarán interesados en estudiar el código y poder descubrir vulnerabilidades valiosas. Ante todo esto, Apple comentó: 

"El código fuente filtrado es de hace tres años, pero por diseño, la seguridad de nuestros productos no depende del secreto de nuestro código fuente. Hay muchas capas de protecciones de hardware y software incorporadas en nuestros productos, y siempre alentamos a los clientes a actualizar las últimas versiones de software para beneficiarse de las últimas protecciones."

Figura 1: Github leak de iBoot

Sea como sea, el daño estuvo hecho y aunque el comunicado fuera esperado y no se diera importancia, al final son de esas situaciones incómodas que no gustan dentro de una organización. Seguiremos atentos a la noticia, ya que, seguramente, no acabe aquí todo el tema del leak que afectó a una de las empresas tecnológicas más potentes del mundo.