(apro).- Actualmente, los teléfonos celulares están desplazando a las
computadoras. De hecho, siendo estrictos, los teléfonos móviles ya son
prácticamente unas computadoras de bolsillo, con funciones de
conectividad que hace pocos años nos hubieran parecido un sueño
inalcanzable.
Así entonces, los teléfonos “inteligentes” cada vez más se hacen
presentes en nuestras vidas y, a veces, la mercadotecnia nos hace pensar
que es hora de hacerse de la última novedad en telefonía móvil. El caso
más sonado es del iPhone de Apple, que llegó a México ya hace como un
año, quizás un poco más, y que a pesar del costo para los usuarios, ha
sido todo un éxito.
Quizás el iPhone deslumbra, y hay motivos para que así sea. Tiene una
tienda virtual con miles y miles de aplicaciones de todo tipo. Si a
esto le agregamos la sobriedad de la interfaz gráfica y aparte, la
fidelidad de los que han adquirido antes productos de la manzana, pues
tenemos a un ganador.
Sin embargo, como quizás cualquier otro teléfono, que ahora no sólo
sirve para hablar a otros, tiene información sensible para los dueños de
los mismos. Esa información normalmente está protegida por contraseñas y
uno asume que en caso de robo, no podrán acceder a nuestra información.
Pero estamos realmente equivocados: Investigadores en Alemania dicen
que han sido capaces de descubrir las contraseñas guardadas en un iPhone
bloqueado, en sólo seis minutos, y que se puede hacer esto sin tener
que crackear la contraseña del teléfono.
El ataque, el cual requiere disponer del teléfono físicamente, ataca el keychain, el sistema de manejo de contraseñas del iPhone.
Dichas palabras claves, para redes o sistemas de información
corporativa, pueden ser revelados en un iPhone o iPad que haya sido
robado, por ejemplo, sin mayores problemas, indicaron los investigadores
del Instituto de Tecnología de Información Segura Fraunhofer
(Fraunhofer SIT, por sus siglas en inglés). La tecnología para revelar
las contraseñas se basa en explotar el acceso a muchas partes del iOS
del iPhone, incluso si el dispositivo está bloqueado.
En un video que demuestra el ataque, los investigadores primero hacen jailbreak
al teléfono, usando las herramientas de software existentes. Entonces
instalan un servidor SSH en el iPhone que permite que el software corra
en el teléfono.
El tercer paso es copiar el script de acceso al keychain al teléfono. Dicho script usa funciones del sistema ya existentes en el iPhone para acceder a las entradas del keychain y, como paso final, entrega los resultados en la forma de detalles de la cuenta, descubiertas por el ataque.
El ataque trabaja porque la llave criptográfica en los dispositivos
con iOS actuales se basa en material disponible dentro del propio
teléfono y es independiente del código que desea alimentarse, dijeron
los investigadores. Esto significa que los atacantes con acceso al
teléfono pueden crear la llave desde el iPhone sin tener siquiera que hackear el código o contraseña secreta del teléfono.
Mediante este tipo de ataques, los investigadores fueron capaces de acceder y desencriptar las contraseñas en el keychain, pero no las contraseñas en otras clases de protección.
Entre las contraseñas que se pueden revelar, están la de Google Mail,
LDAP, Ms Exchange, voicemail, VPN, WiFi y algunas contraseñas de
ciertas apps. Los investigadores publicaron un reporte con los detalles completos de los resultados del ataque.
“Tan pronto como los atacantes estén en posesión de un iPhone o iPad,
y hayan removido la tarjeta SIM del dispositivo, pueden hacerse de
datos de correo, contraseñas y código de acceso a VPNs corporativas y
WLAN incluso”, dijeron los investigadores. “El control de una cuenta de
correo permite a los atacantes adquirir muchas veces más contraseñas:
muchos servicios web, como el de las redes sociales, puede ser atacado
entrando a la cuenta de la víctima y pidiendo resetear la contraseña”, agregaron.
El ataque es particularmente significativo para las compañías que
permiten a sus empleados usar iPhones en redes corporativas, porque
puede revelar las contraseñas de acceso a las redes locales privadas.
“Los propietarios de un dispositivo con iOS robado deberían iniciar
instantáneamente un cambio en sus contraseñas dentro del sistema”, dice
Fraunhofer SIT. “Adicionalmente, esto debería hacerse también para
cuentas no guardadas en el dispositivo, pero que pudiesen tener
contraseñas iguales o similares, pues el atacante podría intentar
revelar algunas contraseñas a partir de la lista completa de las cuentas
ya conocidas”, concluyeron.
Los investigadores de Fraunhofer SIT previamente ya habían revelado
problemas de seguridad con otros sistemas operativos. A finales del
2009, publicaron escenarios múltiples de ataques criminales que podrían
ser usados para acceder a archivos protegidos con el sistema BitLocker,
cuya tecnología de encriptamiento es de Microsoft. El año
pasado, el instituto empezó a vender una aplicación Java para los
teléfonos y proteger así las contraseñas.
Fuente, vìa :
http://proceso.com.mx/rv/modHome/detalleExclusiva/88557
http://proceso.com.mx/rv/modHome/detalleExclusiva/88557
La imagen no proviene de la fuente original
Entradas
No hay comentarios:
Publicar un comentario