Pokemon Go: Actualización para mejorar la privacidad #PokemonGO #Apple #iOS

Es sin duda una de las noticias de la semana, robos y utilización de malware en apps falsas de Pokemon Go nos ha dejado el éxito de esta aplicación. Un éxito sin precedentes en el mundo de las aplicaciones móviles y que, por supuesto, el mundo de la ciberdelincuencia no ha dejado sin cubrir. Hoy la noticia es que Pokemon Go para iOS acaba de ser actualizada a la versión 1.0.1, prometiendo mayor estabilidad y un uso menos intrusivo de los permisos de uso de la cuenta de Google. 

La semana pasada se descubrió que el popular juego de realidad aumentada tiene acceso completo a las cuentas de las personas que se inscribieron para empezar a jugar. Es decir, tienen acceso completo a la cuenta de Google de los usuarios. Esto ha sido visto como un uso innecesario por parte de la aplicación y diversos expertos en seguridad han levantado la voz, los cuales advirtieron que esto era una mala práctica.

Figura 1: Pokemon Go

Gracias a los permisos sobre la cuenta de Google que se proporciona a Pokemon Go, la aplicación podría acceder a todo el correo electrónico o a la ubicación del dispositivo. La compañía propietaria de la aplicación se apresuró a emitir un comunicado afirmando que el juego sólo recopila información básica, como podría ser el identificador del usuario y la dirección de correo electrónico. "Google ha comprobado que no existe otra información que se haya recibido o accedido por Pokemon Go", especificó la compañía propietaria. De todos modos, se comprometieron a solucionar el problema de forma rápida. La nueva actualización de la aplicación se encuentra ya disponible a través de la AppStore.

Hacer fuerza bruta al passcode del iPhone con Box IP

IP Box craquea tu passcode

En muchas ocasiones ya se ha comentado lo importante que es cambiar el passcode y dejar de utilizar una versión de 4 dígitos por una versión más compleja, como puede ser la que incluya letras y números. La herramienta Box IP permite realizar ataque de fuerza bruta al passcode del iPhone. El equipo de MDSec propone esta herramienta que pone de manifiesto la facilidad de crackear el passcode del iPhone. Esto significa que en un período corto de plazo se podría sacar el passcode correcto. La caja es muy sencilla de utilizar, con solo conectar el dispositivo se puede obtener el código de 4 dígitos en un tiempo de 6 segundos a 17 horas.

Después de lograr crackear el passcode se tendrá acceso completo al dispositivo. Es importante entender que opciones de seguridad como el borrado del dispositivo tras 10 intentos fallidos, ayudan a proteger dispositivos críticos, aunque según indican los propietarios de esta caja, ésta funciona incluso si esa opción está marcada, ya que corta directamente la alimentación del dispositivo. Además, en un dispositivo crítico es recomendable, y casi totalmente necesario, tener un passcode complejo que mezcle letras, números y caracteres especiales y un tamaño superior a 8 caracteres. 

La caja automatiza el tedioso proceso manual de introducir secuencialmente cada código de acceso, del 0000 al 9999. Para ello, se utiliza una conexión USB y un sensor de luz que indica cuando el dispositivo ha sido desbloqueado con éxito. La caja implementa la vulnerabilidad CVE-2014-4451 con la que se puede intentar múltiples contraseñas diferentes. Esta vulnerabilidad fue encontrada el año pasado por Stuart Ryan, y significó que iOS no se diera cuenta de que habían introducido un passcode incorrecto si el botón de inicio era pulsado casi al mismo instante de fallar al meter el passcode. De este modo el dispositivo no recordaba dicho fallo.

Figura 1: Demo de IP Box crackeando el passcode de un iPhone 6

En el vídeo se puede visualizar un crackeo que dura unos 30 segundos con el que se demuestra que el ataque de fuerza bruta al hardware funciona. Hay que tener en cuenta aspectos como los comentados anteriormente, sobretodo la posibilidad de utilizar un passcode complejo y con más de 8 caracteres.

Otro ejemplo similar en el pasado de ataque de fuerza bruta al passcode de iOS es el que se usó con Rubber Ducky con el fin de simular la interacción humana. Los sistemas operativos ofrecen demasiada confianza en las pulsaciones de teclado, por lo que dispositivos que abusan de la interfaz HID no pueden ser detectados.