9 feb. 2018

Filtran el código fuente de iBoot de Apple en Github

El código fuente de Apple para un componente central del sistema operativo de iPhone se ha filtrado en GitHub. Esto podría permitir a ciberdelincuentes, además de investigadores, descubrir vulnerabilidades de día cero actualmente desconocidas para desarrollar malware persistente y jailbreaks para iPhone. El código fuente parece ser para iBoot, la parte crítica del sistema operativo iOS que es responsable de todas las comprobaciones de seguridad y garantiza que se cargue una versión confiable de iOS.

El código fuente de iBoot filtrado

En otras palabras, este componente es algo así como la BIOS de un iPhone. Su función es asegurar que el kernel y otros archivos del sistema que se inician cada vez que encendemos el dispositivo están debidamente firmados por Apple y no se modifican de ninguna manera.

El código de iBoot fue compartido inicialmente en línea varios meses atrás en Reddit. Sin embargo acaba de volver a salir en GitHub. Según informan desde Motherboard, consultaron a algunos expertos en seguridad que confirmaron la legitimidad del código.
Sin embargo, en este momento, no está claro si el código fuente de iBoot es completamente auténtico, quién está detrás de esta importante fuga y cómo lograron hacerse con el mismo.

El código de iBoot filtrado parece ser de una versión de iOS 9. Esto significa que el código no es completamente relevante para el último sistema operativo iOS 11.2.5. Eso sí, es probable que Apple siga usando algunas partes del código de iOS 9 en iOS 11.

La fuga más grande de la historia

Este código fuente filtrado es considerado como "la fuga más grande de la historia" por Jonathan Levin, autor de varios libros sobre iOS y macOS. Dice que el código filtrado parece ser el código real de iBoot, ya que coincide con el código que él mismo diseñó.

Apple ha abierto algunas partes de macOS e iOS , pese a que son sistemas cerrados, en los últimos años. Sin embargo el código de iBoot se ha mantenido cuidadosamente en privado.

La compañía trata a iBoot como parte integral del sistema de seguridad de iOS y clasifica los componentes de arranque seguro como una vulnerabilidad de primer nivel en su programa de recompensas de errores, que ofrece 200.000 dólares por cada vulnerabilidad reportada.

Es por ello que el código iBoot filtrado puede representar un serio riesgo de seguridad. Podría permitir a los ciberdelincuentes y a los investigadores de seguridad profundizar en el código para buscar vulnerabilidades no divulgadas y crear exploits persistentes de malware como rootkits y bootkits.

No obstante, hay que añadir que los iPhones más nuevos y otros dispositivos iOS se envían con Secure Enclave. Esto protege contra algunos de los problemas potenciales que acompañan al código fuente de iBoot filtrado. En este caso el código filtrado no debería de hacer demasiado daño a los usuarios. Al menos quienes tengan dispositivos más recientes.

Apple aún no ha comentado sobre esta fuga. Eso sí, Github ya ha desactivado el repositorio que albergaba el código iBoot después de que la compañía emitiera un aviso de eliminación de DMCA.

Cómo un empleado de Apple filtró el código fuente del iBoot

Aunque Apple le ha restado importancia al asunto porque este código fuente tiene dos años de antigüedad, sí que es importante para ellos saber cómo se ha producido el "leak". Y aquí es donde entra un empleado de Apple que junto a un grupo de amigos perdieron el control de código llegando a publicarse incluso en Github.

Un usuario con el nick "ZioShiba" publicó el código fuente propietario de Apple del componente iBoot (Bootloader) hace un par de semanas en el mayor repositorio de código fuente del mundo, GitHub. iBoot es, entre otras funciones, el responsable de asegurarse que el sistema operativo que está arrancando es original y válido de Apple. Por lo tanto, este código puede ofrecer muchas pistas para futuros jailbreaks del iPhone o su manipulación para incluir malware, eso sin contar que parte de este código se habrá reutilizado seguramente en otras versiones posteriores.

Según la web Motherboard, un empleado de Apple que ellos califican como "low-level" (luego parece ser que hablan de "intern" o becario), ya obtuvo el código fuente de Apple en 2016. Este empleado tenía unos amigos que pertenecían a la comunidad jailbreak y poco a poco le fueron convenciendo a que sacara el código fuente del iBoot, con la excusa de ser muy útil para investigaciones de seguridad. Finalmente este empleado de Apple lo compartió con cinco amigos con la condición de que nunca llegara a salir fuera de este círculo. Pero claro, al final pasó lo inevitable, se filtró y perdieron el control de las copias.

Parece ser que durante un tiempo (según algunos entrevistados fue un año) el código estuvo dando vueltas dentro de algunos círculos relacionados con el jailbreak. No queda claro desde cuando este código se estuvo compartiendo, pero de todas formas, si es cierto que estuvo en circulación entre 2016 y 2017, hubiera sido de un enorme valor para poder crear exploits y malware asociado al jailbreak para atacar a los usuarios de iPhone durante esa época. Sólo nos hemos enterado de este "leak" cuando el usuario que antes hemos mencionado lo publicó en Github (realmente se publicó primero en Mega pero fue eliminado por los moderadores y luego finalmente en Github).

Apple se defiende argumentando que por diseño, la seguridad de sus productos no depende del secreto de su código fuente, ya que existen otras capas tanto de hardware como de software que añaden solidez frente a amenazas de seguridad. Sea como fuere, que un empleado normal (sin ningún tipo especial de acceso restringido) sea capaz de tener acceso a este código fuente tan sensitivo es un problema que Apple debería analizar.

Pero además, parece que la historia no acaba aquí. Según las personas de la web Motherboard que entrevistaron a algunos de esos amigos del empleado de Apple, había más código fuente de otros componentes e incluso algunas herramientas internas de Apple ... estamos seguros que esta historia no acabará aquí.

Fuente: RedesZone | Mother Board | Seguridad Apple

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!