La cobertura de la BlackHat va llegando a su fin, al menos la crónica de las charlas más importantes que hemos compartido con ustedes estos días. A partir de hoy viernes ya estamos en la DEF CON, podrán ver la cobertura de hoy en el Twitter de ESET Latinoamérica y a partir de mañana comenzaremos a publicar en este mismo espacio algunas charlas del segundo evento que estamos cubriendo desde Las Vegas. Y de las charlas que quedaron pendientes de la BlackHat, creo que el trabajo de los investigadores del Georgia Institute of Technology sobre un cargador malicioso para iOS es de lo más interesante. ¿Cómo? ¿iOS puede infectarse? Por el momento, no deja de ser una prueba de concepto pero por demás interesante. Veamos...

En lineas generales, como indicaban los autores del paper en su disertación (Billy Lau, Yeongjin Jang y Chengyu Song), la Apple Store es muy útil a nivel de seguridad, es decir, con ella Apple controla qué se puede o no instalar en sus sistemas y es el único lugar para bajarse aplicaciones hacia los dispositivos. Las aplicaciones tienen que estar correctamente firmadas por Apple Store o iOS developers (los certificados válidos para el Apple Store). Como bien apuntaba el orador, "este modelo parece funcionar", las aplicaciones son revisadas antes de salir y por eso son seguras, "por eso practicamente no se ha visto malware in-the-wild para iOS".

Sin embargo, ya en los comienzos de la investigación, notaron que podían registrarse como desarrolladores y ser autorizados rápidamente. Además, hay una forma de instalar aplicaciones sin pasar por el Apple Store pero esta no es remota, sino que necesita de un conector USB y la utilización de un proceso (Process Isolation) específico para tal fin. Entonces, la idea de los investigadores fue muy sencilla: usar Ingeniería Social. De esta forma, crearon un falso cargador que, además de cargar el dispositivo, posea instrucciones maliciosas. Y hete aquí Mactans, que es justamente eso, una prueba de concepto que, al conectar un dispositivo "al cargador" puede realizar acciones "dañinas" en el equipo.

Los investigadores identificaron que este ataque tiene las siguientes ventajas:

  • No es un jailbreak, no se necesita de él tampoco, el ataque se realiza sobre un teléfono totalmente legítimo en términos de software.
  • Es automático: solo es necesario que se conecte el dispositivo al cargador y el ataque se ejecuta automáticamente.
  • Es transparente: no hay pistas visibles de que está ocurriendo el ataque.
  • Es potente: hace cosas maliciosas que otras aplicaciones no pueden.

Lo que hace el dispositivo al conectarse es lo siguiente:

  1. Obtener el UDID del teléfono
  2. Emparejar el dispositivo
  3. Generar e instalar el perfil provisional (Provisioning Profile)
  4. Instalar el componente malicioso.

Es decir, para instalar código por este método se requieren tres cosas: una licencia de developer (que ya se obtuvo), el UDID del teléfono (que lo obtiene la propia herramienta en el primer paso, es algo que Apple permite obtener fácilmente con conexión USB) y conexión a Internet (se puede usar WiFi o SIM en el mismo cargador).

Si además de todo esto, se instala la aplicación de forma oculta, es decir, el usuario no ve el ícono o se modifica una aplicación existente, se la "troyaniza", el ataque se vuelve transparente al usuario.

Es así que en la charla los oradores llegaron a la demo, donde mostraron como el teléfono al conectarse a Mactans, se instalaba en él una nueva versión de Facebook y realizaba una llamada a otro teléfono, sin que el usuario siquiera toque el dispositivo. Solo por conectar el cargador. Interesante, ¿no?

Vale aclarar, finalmente, que la versión de iOS 7 no sería propensa a este ataque ya que posee protección para que no se ejecuten aplicaciones vía "Process Isolation" cuando se conecta un cargador no original de Apple.

Entonces, ¿es este el comienzo de las amenazas para iOS? No señores, se trata tan solo de otra prueba de concepto. Ya hace dos años en la Defcon 19 se presentó un ataque similar y eso no ha implicado grandes cambios en el escenario de desarrollo de ameanzas para entornos móviles por parte de los cibercriminales en esta plataforma. Sin embargo, como prueba de concepto no deja de ser muy interesante y, como todas las de su especie, demuestran no solo que un ataque es posible ante determinadas situaciones, sino que además pueden ser factibles de utilización para un ataque dirigido, no así para un ataque masivo, donde las pruebas de concepto muchas veces no son escalables.

Sebastián Bortnik
Gerente de Educación y Servicios