22 jul. 2014

Encuentran mecanismos de vigilancia ocultos en iOS

El científico forense Jonathan Zdziarski (aka "NerveGas") ha publicado las diapositivas de su charla "Identifying Backdoors, Attack Points, and Surveillance Mechanisms in iOS Devices" [PDF] presentada en la conferencia Hackers On Planet Earth (HOPE). En esta charla muestra la evidencia de que 600 million de dispositivos de Apple podrían estar siendo vigilados a través de aplicaciones no documentadas por la compañia.

Zdziarski ha trabajado como miembro del dev-team de muchos iOS jailbreaking recientes y es autor de cinco libros de O'Reilly, relacionados al hacking y seguridad de aplicaciones iOS.

En diciembre de 2013, el investigador de seguridad Jacob Appelbaum descubrió un programa de la NSA denominado DROPOUTJEEP que presuntamente daba control total al iPhone. El documento filtrado, con fecha de 2008, señaló que "se requiere instalar un malware mediante métodos de acceso cercano" (presumiblemente acceso físico para el iPhone) pero señalaba que se estaba trabajando en una capacidad de instalación remota en una versión futura.

En su charla, Zdziarski demuestra "un número de servicios indocumentados en todos los dispositivos iOS y de diseño sospechoso que facilitarían la recolección de información forense". También ofrece ejemplos de artefactos forenses que nunca deberían estar en un dispositivo sin consentimiento del usuario.
Según una diapositiva el iPhone es "razonablemente seguro" para un atacante típico y el iPhone iOS 7 y 5 son los más seguros de todo excepto para Apple y el gobierno. Señala que "Apple ha trabajado duro para asegurar que se pueda acceder a los datos del dispositivos, en nombre de la ley".

La presentación señala que las herramientas forenses comerciales como Cellebrite, AccessData, y Elcomsoft realizan una extracción profunda de datos utilizando estos servicios de "puerta trasera". Con los servicios indocumentados expuestos por Zdziarski (como "lockdownd", "pcapd" y "mobile.file_relay") se puede saltear copias de seguridad cifradas y acceder a través de USB, wifi y "tal vez por celular". Lo más sospechoso sobre estos servicios (y los datos que recogen) es que no están referenciados en ningún software de Apple, es poco probable que sea para depuración y se almacenadasen en formato RAW.

Existen dos soluciones de seguridad: a) establecer una contraseña compleja y b) instalar la aplicación Apple Configurator de Mac App Store, configurar restricciones Mobile Device Management (MDM) y eliminar todos los registros de sincronización (aka pair locking). Zdziarski señala que mientras el par de bloqueo puede eliminar las herramientas forenses comerciales, no ayudará si el dispositivo es enviado a Apple.

Actualización: Apple a contestado y el mismo Zdziarski publica la respuesta.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!