Fue Noticia en seguridad Apple: del 2 al 14 de julio

Ya es verano y en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de cupertino. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 2 presentándoos OSX.Dummy, un malware enfocado a los usuarios de Slack y Discord que utilizan criptomonedas. 

El martes 3 os avisamos del lanzamiento de una nueva patente de Facebook que permitiría la activación del micrófono de nuestros smartphones para realizar escuchas de nuestro entorno.

El miércoles 4 os contamos cómo Apple ha demostrado que se equivocaba a un investigador que aseguraba ser capaz de evitar el borrado de datos durante los ataques de fuerza bruta en los iPhone.

El jueves 5 os contamos cómo un informe publicado por Appthority ha revelado que miles de Apps en iOS y Android filtran datos a través de Firebase debido a unas bases de datos mal configuradas.

El viernes 6 os planteamos una interesante pregunta: ¿es realmente necesario un antimalware para tu Apple Watch?

El sábado 7 indagamos un poco más en la historia de Apple, esta vez para hablaros del verdadero origen y significado que hay detrás del logotipo de la manzana mordida.

El domingo cerramos la semana alertándoos del descubrimiento de un nuevo ataque phishing que afecta directamente a los usuarios de family Sharing.

El lunes 9 os hablamos de la aparición de un nuevo problema relacionado con las baterías de los iPhones, en este caso el problema surge tras actualizar el sistema operativo a iOS 11.4.

El martes 10 os avisamos de que ya han sido solucionados los problemas que estaba generando Electra Jailbreak para iOS 11.2 y 11.3.1

El miércoles 11 os informamos de la resolucion del juicio entre Apple y la justicia Australiana por el caso del brickeo de iPhones reparados por empresas de terceros.

El jueves 12 os contamos como podéis instalar aplicaciones fuera de la App Store de iOS y os lo mostramos a traves de una pequeña prueba de concepto.

El viernes 13 os enseñamos como podéis instalar Electra Jailbreak en vuestros dispositivos que corran iOS 11.2 hasta iOS 11.3.1. y os recordamos los riesgos que esto conlleva.

Finalmente, ayer sábado contamos cómo un grupo de ingenieros intentó "colar" un puerto de expansión en el Macintosh como si fuera un puerto de diagnóstico.

Fail: Investigador asegura evitar el borrado de datos en ataques de fuerza bruta. Apple demuestra que no es así

Por un breve momento, parecía que un investigador en ciberseguridad había encontrado una forma para sobrepasar las barreras de seguridad que ofrecen los iPhone y los iPad a través de la introducción de un infinito número de passcodes para acceder al dispositivo. La supuesta vulnerabilidad aparentemente se presentaba hasta en las versiones más actuales de iOS, sin embargo Apple parece haber rebatido todas estas estas pruebas haciendo que el investigador se retracte de lo que parecía un gran descubrimiento.

Al intentar acceder a un iPhone o iPad bloqueado, los usuarios generalmente deben introducir un número o contraseña para poder desbloquear el dispositivo. Desde hace un tiempo Apple introdujo una función que permite borrar todo el contenido de tu dispositivo si éste detecta que alguien intenta adivinar tu passcode. Pero de acuerdo con Matthew Hickey, cofundador de la firma de ciberseguridad Hacker House, si el dispositivo esta enchufado y un atacante intenta enviar entradas de teclado, este mecanismo se desactiva permitiendo el envió de todas combinaciones posibles de contraseñas en una sola cadena para desbloquear así el dispositivo ya que la función de escritura toma prioridad frente a la de borrado de datos.

Figura 1: Matthew Hickey  coofundador de Hacker House

“En vez de probar una contraseña cada vez y esperar que funcione, si envías una cadena con todas las contraseñas posibles a través de un ataque de fuerza bruta, el dispositivo las procesará evitando así la función de borrado de datos”. Dijo Hickey.

Pocas horas después de que Hickey anunciase esto un representante de Apple explicó que el descubrimiento era erróneo y se trataba solo de un fallo cometido durante la investigación. Poco después Matthew confirmó que había cometido un error y explicó que no todos los passcodes probados fueron enviados al enclave seguro de iPad e iPhone, que es el encargado de prevenir este tipo de ataques. Tras verificar el método usado Hickey confirmó que aunque pareciese que todos los passcodes se estuviesen probando, solo lo hacían algunos de ellos. En cualquiera de los casos, Apple tiene pensado el lanzamiento de una nueva función de seguridad llamada Modo Restringido USB que hará que sea muchísimo más difícil acceder a un iPhone o iPad cuando haya sido conectado a su cable de carga.

iOS 12 se protegerá de la fuerza bruta para su desbloqueo

La configuración de iOS 12 hará que sea más complejo desbloquear un iPhone con herramientas de fuerza bruta. Apple ha mejorado la seguridad con el objetivo de proteger la privacidad de los usuarios, y se dice que la empresa de Cupertino está limitando el acceso externo al puerto del iPhone si el dispositivo no se ha desbloqueado en la última hora. Apple ha comentado que esta nueva configuración que se encuentra en Configuración -> Face ID estará activada de manera predeterminada en todos los dispositivos. El conmutador de configuración "Accesorios USB" se ha visto en versiones beta de iOS 11.4.1 y en las nuevas beta de iOS 12. 

Esto supone un golpe para empresas que fabrican herrameintas utilizadas por agencias de inteligencia, entre otros. Estas herramientas obligan al iPhone a forzar el código de acceso de usuario y desbloquear, por tanto, el dispositivo sin el consentimiento del propietario. Dado que estas herramientas se conectan con el dispositivo a través del puerto externo, el no tener acceso a ellas las hará poco útiles, a menos que se logre ejecutar su código dentro del tiempo de una hora, lo cual es un escenario extremadamente complejo. El cambio protege especialmente a aquellos que pertenecen a países dónde hay menos restricciones legales disponibles que en los Estados Unidos. Sin embargo, también protegerá a los ciudadanos estadounidenses.

Figura 1: USB Accesorios en iOS 12

Apple ha comentado sobre esto indicando que tienen el mayor respeto por la aplicación de la ley y no diseñan mejoras de seguridad para frustrar esfuerzos de las agencias de inteligencia que hacen su trabajo. Sin duda, es una mejora en la seguridad del dispositivo en lo que a acceso físico se refiere, por lo que veremos si realmente llega con la aparición de iOS 12 o queda en una noticia o rumor de los muchos que habrá hasta la salida del nuevo sistema operativo.

Hacer fuerza bruta al passcode del iPhone con Box IP

IP Box craquea tu passcode

En muchas ocasiones ya se ha comentado lo importante que es cambiar el passcode y dejar de utilizar una versión de 4 dígitos por una versión más compleja, como puede ser la que incluya letras y números. La herramienta Box IP permite realizar ataque de fuerza bruta al passcode del iPhone. El equipo de MDSec propone esta herramienta que pone de manifiesto la facilidad de crackear el passcode del iPhone. Esto significa que en un período corto de plazo se podría sacar el passcode correcto. La caja es muy sencilla de utilizar, con solo conectar el dispositivo se puede obtener el código de 4 dígitos en un tiempo de 6 segundos a 17 horas.

Después de lograr crackear el passcode se tendrá acceso completo al dispositivo. Es importante entender que opciones de seguridad como el borrado del dispositivo tras 10 intentos fallidos, ayudan a proteger dispositivos críticos, aunque según indican los propietarios de esta caja, ésta funciona incluso si esa opción está marcada, ya que corta directamente la alimentación del dispositivo. Además, en un dispositivo crítico es recomendable, y casi totalmente necesario, tener un passcode complejo que mezcle letras, números y caracteres especiales y un tamaño superior a 8 caracteres. 

La caja automatiza el tedioso proceso manual de introducir secuencialmente cada código de acceso, del 0000 al 9999. Para ello, se utiliza una conexión USB y un sensor de luz que indica cuando el dispositivo ha sido desbloqueado con éxito. La caja implementa la vulnerabilidad CVE-2014-4451 con la que se puede intentar múltiples contraseñas diferentes. Esta vulnerabilidad fue encontrada el año pasado por Stuart Ryan, y significó que iOS no se diera cuenta de que habían introducido un passcode incorrecto si el botón de inicio era pulsado casi al mismo instante de fallar al meter el passcode. De este modo el dispositivo no recordaba dicho fallo.

Figura 1: Demo de IP Box crackeando el passcode de un iPhone 6

En el vídeo se puede visualizar un crackeo que dura unos 30 segundos con el que se demuestra que el ataque de fuerza bruta al hardware funciona. Hay que tener en cuenta aspectos como los comentados anteriormente, sobretodo la posibilidad de utilizar un passcode complejo y con más de 8 caracteres.

Otro ejemplo similar en el pasado de ataque de fuerza bruta al passcode de iOS es el que se usó con Rubber Ducky con el fin de simular la interacción humana. Los sistemas operativos ofrecen demasiada confianza en las pulsaciones de teclado, por lo que dispositivos que abusan de la interfaz HID no pueden ser detectados.