Un nuevo misterio: Recuperación de datos con DriveSavers en iPhone

Esta es de esas noticias que a muchos les gusta leer por las posibilidades que se abren en sus trabajos, pero que no estamos seguros que sea 100% cierta. Cuando hablamos de desbloquear un dispositivo iPhone nos viene a la cabeza el método de la empresa Cellebrite o el caso de GrayKey, del cual hemos hablado ya en Seguridad Apple, y es el último ejemplo de desbloqueo de iPhone. En esta ocasión una empresa llamada DriveSavers indica entre sus funciones la posibilidad de recuperar de datos. Además, se indica que no importa si la contraseña es simple o compleja. 

El coste de la funcionalidad de recuperación de datos está en 3900 dólares, según publica DriveSavers. La empresa asegura que no está orientado solo a la polícia o empresas, si no que cualquier usuario puede hacer uso de sus servicios. También se indica que el método funciona al 100% a día de hoy. Es decir, por ahora no han arreglado el fallo, aunque Apple si ha arreglado otros fallos, como los mencionados anteriormente. La empresa ha hecho mucho hincapié en el 100% de éxito en el uso de la herramienta y el servicio. De momento, no hay pruebas, pero todo hace indicar que la empresa tiene un nuevo método y que Apple trabajará en el futuro en solventarlo, mediante la aplicación de actualizaciones en el sistema operativo.

Figura 1: Passcode en iOS

No se han dado detalles del funcionamiento del proceso ni del método en sí. También se ha comentado que no se desbloqueará ningún iPhone que no pertenezca al usuario. Desde Apple no se ha hecho ningún comentario, ni lanzado ningún comentario sobre el asunto. Lo que si es seguro es que Apple está mirando con lupa este asunto para ver como solventarlo, en el caso de que el método sea tal y como indica la empresa. Estaremos atentos a los siguientes movimientos de la empresa de Cupertino.

Grayshift, la empresa que podía "crackear" los iPhone, supuestamente no puede con iOS 12

Ya hemos hablado de Grayshift y su "mágica" herramienta llamada Graykey, capaz de desbloquear iPhones o iPad con iOS bloqueados con código de bloqueo. Utilizando un misterioso dispositivo encapsulado en una caja negra y utilizando fuerza bruta, este era capaz de conseguir averiguar los códigos de acceso y desbloquear estos dispositivos con iOS ... hasta ahora. Pero ya no es posible con iOS 12.

Graykey se hizo muy popular, y la vez levantó mucha polémica, cuando las fuerzas de seguridad de EEUU comenzaron a utilizarlo para desbloquear los iPhones o iPads intervenidos a presuntos delincuentes. Recordemos que Apple ya se negó en su día a desbloquear varios de ellos relacionados con diferentes incidentes. Fue entonces cuando apareció Grayshift con su máquina para ofrecer una solución alternativa. A partir de ese momento, durante un periodo de tiempo, las fuerzas de seguridad tenían una opción para poder desbloquear dichos dispositivos y avanzar en sus investigaciones. Con una nueva actualización de iOS 12, esto ya no es posible.

Figura 1. Posible aspecto de Graykey. Fuente.

Nadie en la comunidad mundial de seguridad informática sabe cómo ha podido Apple solucionarlo. Algunos especulan a que se han realizado cambios relacionados con el kernel, con los perfiles de usuario pero otros apuntas al que posiblemente sea el método más claro además del mas sencillo de todos. Este sería simplemente añadir o forzar una variante a bajo nivel relacionada con el modo USB restrictivo (que ya añadió Apple en su día) , el cual desconectaría cualquier dispositivo USB conectado al dispositivo iOS después de un periodo de tiempo conectado. Por lo tanto, el proceso de fuerza bruta sería interrumpido cuando se aplicara esta restricción de desconectar los dispositivos conectados al USB.

Figura 2. Opciones del modo USB restringido iOS. Fuente.

De todas formas, este no será el final de la historia ni mucho menos. Estamos convencidos que tarde o temprano, Grayshift (o cualquier otro) encontrará otro método de utilizar sus técnicas de desbloqueo. Esperaremos nuevas noticias de este juego del gato y el ratón, os tendremos informados.

La última actualización de iOS para bloquear estudios forenses en dispositivos Apple

Apple hará que desbloquear sus dispositivos sea todavía más complicado, sin duda una mala noticia para el gobierno, policía y las agencias de seguridad de los estados unidos. Según la compañía de análisis forense Elcomsoft, Apple ha implementado una nueva función de protección que deshabilitaría algunas funciones del puerto USB de carga para evitar el análisis del dispositivo en su versión de iOS 11.4. La actualización restringiría las conexiones de datos a través de los puertos de carga de los iPhone e iPad (que ofrecen la funcionalidad USB), si el dispositivo no se ha logrado desbloquear en un tiempo inferior a siete días.

Como ya ha podido comprobar Elcomsoft en algunas de las pruebas realizadas recientemente el puerto de alimentación solo sería útil para cargar el dispositivo. Con el modo de restricción de USB activado el dispositivo no podrá volverse a emparejar con ordenadores u otros dispositivos sin que se haya introducido el passcode o Touch/Face ID correcto previamente. Se cree que Apple ha introducido el modo restricción de USB como una contramedida para evitar el desbloqueo de sus dispositivos a través del puerto de carga evitando así el uso de herramientas como GrayKey de las que ya os hemos hablado anteriormente en Seguridad Apple.

Figura 1: GrayKey versión online.

“La nueva funcionalidad está dirigida estrictamente a las autoridades de la ley. Con un iPhone Bloqueado es posible extraer backups del dispositivo en formato iTunes si este no se ha apagado o reiniciado desde que se hiciesen, también permite la recuperación de fotos y videos, una lista de aplicaciones instaladas e información general del” ha dicho Elcomsoft.

Apple ha hecho que este proceso sea más complicado en sus últimas actualizaciones de iOS haciendo que los datos mencionados anteriormente se borren cada 7 días. Estos dos cambios forzarían a las agencias de inteligencia a tener sumo cuidado a la hora de extraer la información de los dispositivos asegurándose de que no se apagasen y en un intervalo inferior a 7 días, sin duda algo que resultaría bastante difícil.

Fue Noticia en seguridad Apple: del 19 de marzo al 8 de abril

La semana santa ha llegado a su fin y en Seguridad Apple no hemos descansado durante las fiestas para traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas tres semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 19 avisándoos de la llegada de la segunda temporada de Code Talks for Devs, en la que se abordaran temas muy interesantes, como Latch y los wallets de criptomonedas.

El martes 20 os contamos como Apple ha logrado bloquear un vector de ataque en el marco de WebKit que actuaba como una SuperCookie para realizar tracking de usuarios.

El miércoles 21 os damos 12 consejos que os ayudarán a hacer que vuestro dispositivo iOS sea más seguro.

El jueves 22 os alertamos de la llegada de una nueva oleada de Phishing debida a la temporada de realización borradores para el pago de impuestos a la Agencia Tributaria estadounidense.

El sábado 24 os presentamos 5 aplicaciones que te ayudarán a limpiar tu Mac de una forma rápida y segura, además de haceros un breve resumen de su funcionamiento.

El domingo os contamos las razones del baneo de WeChat por parte de las autoridades militares australianas.

El lunes 26 comenzamos la semana avisándoos de la posible compra de GrayKey por un departamento de los Estados Unidos y de como podría ser utilizada la herramienta.

El martes 27 os contamos cómo un bug en Siri permite escuchar tus mensajes de WhatsApp o Skype cuando el dispositivo está bloqueado.

El miércoles 28 os enseñamos como se puede utilizar Siri para abrir y cerrar cerrojos de Latch con la ayuda de HomeAssistant.

El jueves 29 os hablamos de como GrayKey podría convertirse en un precedente para el abuso en caso de caer en malas manos y el daño que podría causar una herramienta así en el mercado negro.

El viernes 30 os proporcionamos una pequeña guía con consejos para hacer que vuestras contraseñas sean más seguras.

El sábado 31 echamos la vista atrás para sumergirnos en la historia de Apple, en este caso os hablamos de la historia y el significado que hay detrás del símbolo de la tecla Command de Mac.

El domingo 1 os contamos cómo es posible utilizar las cerraduras electrónicas de August con Siri desde tu iPhone, Apple Watch o iPad.

El lunes 2 os avisamos de la llegada de iOS 11.3 y de macOS 10.13.4, actualizaciones que incorporan parches para un gran número de vulnerabilidades importantes.

El martes 3 os contamos cómo es posible que la App Store te avise de tu uso de datos, esta nueva funcionalidad te permitirá saber para que se usan tus datos personales.

El miércoles 4 os informamos de la llegada de las nuevas actualizaciones de WatchOS 4.3, TvOS 11.3 e iOS 11.3 para HomePod. Además os contamos cuales son algunas de las novedades que incorporan.

El jueves 5 os avisamos de la posible llegada de un nuevo jailbreak para iOS 11.2.6, en este caso el jailbreak sería posible debido a una vulnerabilidad encontrada en dicha versión de iOS con CVE-2018-4143.

El viernes 6 os invitamos a seguir la cuarta temporada de ElevenPaths Talks, esta temporada da comienzo el 12 de abril y se abordaran temas muy interesantes, os esperamos.

Finalmente, ayer sábado publicamos otra curiosa historia sobre uno de los fundadores de Apple y el juego Tetris.

GrayKey podría convertirse en un peligroso precedente para el abuso

A pesar de la negativa de Apple a desbloquear sus dispositivos para autoridades oficiales como el FBI, parece que siempre haya una alternativa para eludir su protección. Los investigadores de Malwarebytes Labs han destapado un proveedor que es capaz de desbloquear los dispositivos de Apple evitando los procesos para pararlo. Puede que esto sea una victoria para el FBI, ya que la disputa entre la empresa de cupertino y la agencia americana de inteligencia ha sido intensa desde que en 2015 el FBI pidiese ayuda a Apple para desbloquear uno de sus terminales tras un tiroteo. Ante la negativa de Apple el FBI recurrió a la firma forense israelí Cellebrite para que les ayudasen con el trabajo de desbloqueo.

Ya hemos hablado de GrayKey en SeguridadApple, pro no está mal el recordar algunas cosas sobre ello. Recientemente una firma estadounidense llamada Grayshift ha informado del lanzamiento de un dispositivo de desbloqueo llamado GrayKey, una misteriosa herramienta capaz de desbloquear cualquier iPhone independientemente de su versión de iOS. El investigador de Malwarebytes Thomas Reed ha publicado detalles sobre el funcionamiento de este nuevo dispositivo, el cual es esencialmente una pequeña cajita a la que conectar dos iPhone.

“Un iPhone normalmente contiene todo tipo de datos e información sensible: credenciales de cuentas, nombres y números de teléfono, mensajes, e-mails, información bancaria, números de la seguridad social y muchas cosas más. Toda esta información ,aunque gran parte de ella parezca inocua, tiene un valor en el mercado negro y podría utilizarse para robar tu identidad, acceder a tus cuentas y robar tu dinero” ha dicho Reed.

Figura 1: Herramienta física de GrayKey.

Los dispositivos se conectan a GrayKey durante aproximadamente dos minutos, después se desconectan y tras dos horas (aproximadamente) el teléfono mostrara en pantalla el passcode y otra información importante. En caso de disponer de un passcode de 6 dígitos la herramienta podría tardar hasta tres días y en caso de que este fuese más largo o se tratase de una clave alfanumérica el tiempo de desbloqueo no está especificado. Para poder utilizar GrayKey es necesario adquirir un dispositivo físico que vale unos 15.000 dólares u optar por la herramienta online que ronda los 30.000 dólares. A pesar de su alto precio esta herramienta podría suponer un gran problema si cayese en malas manos ya que podría utilizarse para desbloquear dispositivos y obtener su información sin el consentimiento de sus propietarios para venderla posteriormente en el mercado negro.

Fue Noticia en seguridad Apple: del 5 al 17 de marzo

Con la semana santa a la vuelta de la esquina en Seguridad Apple continuamos trayéndoos las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 5 contándoos como el mismísimo Steve Wozniak fue estafado perdiendo 7 bitcoins. Por suerte para el esto sucedió hace años, cuando la criptomoneda apenas tenía valor.

El martes 6 os presentamos GrayKey, una herramienta bastante misteriosa cuya finalidad es desbloquear dispositivos con iOS 11 y tiene un precio desorbitado.

El miércoles 7 os hablamos de la nueva herramienta desarrollada por la firma de seguridad Cellebrite y de cómo sería capaz de desbloquear los nuevos iPhone.

El jueves 8 os avisamos de la inminente llegada de actualizaciones de iOS 11.3, macOS 10.13.4 y tvOS 11.3 y os adelantamos algunas de las nuevas funcionalidades que traerán las mismas.

El viernes 9 os contamos como los cristales del nuevo Apple Park se han convertido en un peligro para algunos de sus empleados. 

El sábado 10 os presentamos la hazaña de un exprogramador que ha sido capaz de devolverle la vida a un Apple I y ejecutar en él un programa desde su iPad.

El domingo os avisamos de que Apple ha publicado una guía rápida sobre como diferenciar los correos enviados por la compañía de correos falsos (normalmente asociados a ataques Phishing).

El lunes 12 comenzamos la semana hablando sobre la venta de cuentas de Apple ID comprometidas por unos 15 dólares, también os mostramos la comparativa con el precio de otras cuentas robadas y os explicamos a que se debe su alto precio. 

El martes 13 os contamos cómo ha evolucionado el malware en Mac durante los últimos meses, todo ello gracias al informe publicado por Malwarebytes en el que se detalla el estado del malware en Mac.

El miércoles 14 os confirmamos la fecha del WWDC de 2018, evento en el que se espera que Apple presente iOS 12, macOS 10.14 y watchOS 5.

El jueves 15 os hablamos del crecimiento del malware en Mac durante los últimos años y de cómo esta tendencia al alza no parece que vaya a parar. Ademas os hablamos de los 4 malwares dirigidos hacia Mac mas importantes en lo que va de año.

El viernes 16 os contamos como al menos 160 restaurantes de la cadena Applebee´s han sido infectados por un malware que extraía información de sus terminales de venta.

Finalmente, ayer, sábado, os contamos un poco de historia hablando sobre el valor que tienen los dispositivos Apple antiguos. Un interesante post en el que se muestran los diferentes precios que tienen los dispositivos, en función de si están en perfecto estado o tienen alguna avería o rasguño.

Os esperamos en dos semanas con nuestro resumen bisemanal de Fue Noticia en Seguridad Apple. Que paseis una gran semana y que la actualidad en el mundo de la manzana mordida nos lleve los días. 

GrayKey: Una misteriosa herramienta para desbloquear iOS 11

Una semana después de que se anunciara que Cellebrite, del cual hablaremos en los próximos días, puede desbloquear los últimos modelos de iPhone de Apple, ha surgido otro servicio que promete casi lo mismo. Excepto que en esta ocasión proviene de una entidad desconocida, una empresa llamada Grayshift y de origen estadounidense. Esta empresa parece estar dirigida por contratistas de agencias de inteligencia estadounidenses y un ex-ingeniero de seguridad de Apple. 

En las últimas semanas, la empresa ha mostrado o parecido mostrar entre grupos de policia y forenses una herramienta para desbloquear dispositivos iPhone por unos 15.000 dólares. La herramienta se llama GrayKey y permite ser utilizada durante 300 usos. El modo en línea de la herramienta requiere conectividad constante, mientras que la versión offline cuesta alrededor de 30.000 dólares. Además, esta segunda versión tiene usos ilimitados. Grayshift afirma poder desbloquear dispositivos iPhone con iOS 10 y 11, y pronto recibiría soporte para iOS 9. También parece trabajar con el último hardware de Apple. 

Figura 1: Características de GrayKey

Todo hace indicar que Grayshift tiene acceso a hacks similares a los de Cellebrite, es decir, un probable hack dirigido a Secure Enclave. No está claro que sea el mismo hack que el de Cellebrite, pero lo que si indica Ryan Duff, director de soluciones en Point3 Security es que el proceso de post-explotación es casi seguro el mismo. Apple se ha negado a comentar nada sobre las afirmaciones de Grayshift, pero recomienda a los usuarios que actualicen iOS, ya que contendrán soluciones para las últimas vulnerabilidades.