El esquema URL en iOS es vulnerable al Highjacking

El formato o esquema URL en iOS ofrece a los desarrolladores un medio para comunicar apps entre ellas. Pero más allá de la comunicación, con incluir el nombre de la aplicación en la misma URL es también posible abrirla o ejecutarla. Por ejemplo, "facetime://" abrirá FaceTime para realizar por ejemplo, una llamada. Este es sólo uno de los muchos esquemas que existen con este formato para las URL. El abuso de los esquemas URL puede acabar siendo un problema para la seguridad como veremos a continuación.

Apple utiliza un mecanismo de sandbox para la seguridad y privacidad de los datos contenidos en las apps creadas para iOS. Es un sistema bastante seguro pero tiene un pequeño problema: limita demasiado la comunicación entre aplicaciones. Aquí es donde entra el esquema URL. iOS permite un único esquema URL para que dicha aplicación pueda ser llamada por otras, utilizando un sencillo método en el cual se aplica el principio de orden de llegada, es decir, sólo se ejecuta y se registra como auténtica la primera aplicación que utilizó dicho esquema en primer lugar. Aún así, es posible explotar esta vulnerabilidad tal y como explican a fondo en la web de Trend Micro para conseguir un ataque tipo Highjacking (o secuestro)

Figura 1. Aspecto de un token de login robado por la aplicación URLSchemeAttack. Fuente.

Otro de los problemas relacionados con los esquemas URL es que estos pueden ser utilizados para ejecutar aplicaciones, como hemos comentado al principio de este artículo. Es decir, una aplicación maliciosa podría registrar una URL específica, existiendo la posibilidad de que dicho malware se pudiera ejecutar simplemente lanzando dicho esquema URL. Existen muchas aplicaciones de este tipo las cuales intentan reclamar el esquema URL perteneciente a otras aplicaciones conocidas como wechat://, fb://, etc. Esta práctica está muy extendida para conseguir ejecutar pop-ups con publicidad no solicitada.

Figura 2. Algunas aplicaciones maliciosas que intenta sacar provecho de aplicaciones populares. Fuente.

Los esquemas URL pueden ser peligrosos y no se recomiendan para transmitir información sensible o confidencial. Un atacante puede aprovechar la función de "no autenticación" ya que los datos se transfieren independientemente del origen o destino. En su lugar, se recomienda utilizar los llamados universal links, ya que configurando un enlace de este tipo creamos un interfaz de login además de una identificación aleatoria para autenticar el token de inicio recibido. De esta forma es sencillo prevenir un ataque tipo Highjacking además de la reproducción del token de login.

Cuando una letra no es la letra que pensabas. Ataques phishing IDN homógrafo o la importancia de actualizar

Algunos usuarios de productos Apple no actualizan con los últimos parches de seguridad sus dispositivos por diferentes motivos (que no vamos a analizar aquí). Tener por ejemplo un iPhone sin estar actualizado a la última de las versiones supone una exposición continua a posibles ataques relacionados con bugs o errores presentes en la versión actual de iOS. Es una situación un poco extraña ya que esos errores ya están corregidos en versiones posteriores, por lo tanto es decisión propia del usuario estar expuesto a ellos.

El ataque IDN (Internationalized Domain Name) homógrafo, el cual consiste en colocar una letra parecida a la original para simular una dirección web legítima utilizando a su vez códigos Unicode, es uno de estos ataques que se pueden solucionar simplemente actualizando el sistema (al igual que ocurrió con el famoso error del carácter Telugu que también te contamos aquí) . Ocurre exactamente cuando alguien registra un nombre de dominio utilizando un carácter Unicode que se parece mucho a a una de las letras originales, pero realmente no lo es. De esa forma al hacer click sobre una dirección web, nos llevará a otra en vez de a la original.

Figura 1. Explicación de un ataque IDN homógrafo utilizando caracteres Unicode y su problema en Safari. Fuente.

Se utilizan principalmente para phishing donde se crea un clon del servicio o página web original. El año pasado este tipo de ataques fue bastante frecuente y se notificaron muchos incidentes relacionados con él, sobre todo orientado a páginas web relacionadas con criptomonedas. Un investigador de seguridad de la empresa Tencent Security ha comprobado cómo se comporta Apple a la hora de tratar este tipo de incidentes, y parece que ha estado haciendo un buen trabajo comprobando estos Unicode ... excepto con la letra "d" (ver Figura 1).

Este investigador ha encontrado que Apple tiene algunos problemas con la letra generada con el código Unicode U+A771 que corresponde a una letra parecida a la "d": (ꝱ) ó dum "d". Parece una letra minúscula "d" como la que se muestra en la imagen de abajo (Figura 2), la cual tiene un apóstrofe justo debajo de la letra bastante llamativo procedente del Latin Extended-D. El problema es que Safari no renderiza correctamente esta letra (el apóstrofe no aparece) y lo que hace es directamente mostrar la letra dum "d" que hemos mencionado anteriormente. Esto lleva a confundir totalmente las dos letras permitiendo este tipo de ataques creando sitios web con nombres muy parecidos a los originales.

Figura 2. Diferencias entre la dum (d) y la letra (d) original. Fuente.

Los investigadores de la empresa Tencent ha informado de este problema a Apple, que finalmente han sido solucionados por las actualizaciones lanzadas en julio los cuales afectaban a Safari, macOS, tvOS y watchOS. Volviendo al tema de no actualizar, aquellos que no tuvieran algunos de los dispositivos que utilizan estos programas o sistemas operativos actualizados, son aún vulnerables a este tipo de ataques. Algunos de los dominios que se han suplantado son LinkedIn, Baidu, Dropbox, Adobe, WordPress, Reddit, GoDaddy, etc. Esto es uno de los problemas que podemos tener en nuestros dispositivos si no los actualizamos regularmente ... y también sirve también para cualquier otro, aunque no sea de Apple.