Una de las primeras charlas de la mañana de ayer en BlackHat, que presenciamos como parte de nuestra cobertura del evento, era la que presentaban los investigadores Mathew Solnik y March Blanchou, quienes han mostrado las vulnerabilidades en el sistema de control que tienen las operadoras sobre los dispositivos móviles y cómo estas podrían ser aprovechadas para comprometer la seguridad de teléfonos móviles, portátiles, puntos de acceso y todo tipo de dispositivos del Internet de las Cosas.

Millones de dispositivos afectados

Los investigadores calculan que existen alrededor de 2 mil millones de dispositivos que están bajo las órdenes del OMA Device Manager (OMA-DM), sistema que permite a las operadoras, por ejemplo, lanzar actualizaciones OTA (Over The Air) del sistema operativo que controla nuestros móviles. No obstante, este sistema también puede ejecutar una serie de comandos remotos que, de ser usados de forma maliciosa, podrían comprometer la seguridad de los dispositivos y de la información que almacenan, e incluso podrían suponer el control remoto del mismo.

Actualmente, un único fabricante (RedBend Software) desarrolla el software (vDirect) que un alto porcentaje de operadoras a nivel mundial utilizan como gestor remoto de dispositivos. Esto significa que millones de dispositivos móviles podrían verse supuestamente afectados si alguien explotase las vulnerabilidades presentes en este sistema de gestión, independientemente de su fabricante o sistema operativo.

Hay diferencias, no obstante, dependiendo de la plataforma; así pues iOS se vería solamente afectado en Estados Unidos en aquellos dispositivos que utilizasen a la operadora Sprint, mientras que Android se vería afectado de manera global en la mayoría de operadoras más reconocidas.

Engañando a nuestro dispositivo móvil

Se podrían realizar varios ataques, pero uno de los preferidos por los investigadores es el que les permitiría engañar a un terminal para que creyese que está conectado a su operadora cuando realmente se encuentra conectado a un punto de acceso, que hace de estación base falsa y que le provee de conexión Wi-Fi.

A partir de ahí se pueden realizar ataques Man In The Middle (MITM) que permitirían obtener todo tipo de información del terminal sin que el usuario sospechase nada. Resulta sorprendente comprobar cómo una antigua estación base falsa con capacidad 2,5G es capaz incluso de engañar a los modernos terminales LTE, haciendo que estos sólo puedan utilizar 2,5G y realizando la suplantación de la estación base sin mayores problemas.

Seguridad insuficiente desde las operadoras

Uno podría preguntarse qué sucede con las medidas de seguridad implementadas por las operadoras. Estas se encuentran presentes, pero son un tanto inseguras. Por ejemplo, cuando una operadora lanza una actualización OTA a sus clientes, hay un proceso de verificación, aunque este resulta poco seguro. Básicamente, la operadora se identifica como de confianza al terminal enviando una combinación del IMEI del móvil y una clave compartida.

En realidad, esta clave es un número estático seguido por el IMEI de nuestro teléfono, algo que reduce sustancialmente la seguridad de este método de autenticación, ya que el IMEI queda como único mecanismo real de identificador. Esto supone un riesgo para millones de dispositivos puesto que este identificador es relativamente fácil de averiguar por un atacante.

Nuevos tipos de ataques

A todo lo anterior, hay que añadir la posibilidad de forzar al dispositivo a que utilice servidores de prueba HTTP mediante el envío de mensajes WAP, ya sea entre dispositivos, utilizando herramientas de terceros e incluso los puertos UDP de comunicación máquina/máquina (M2M). Esto permite nuevamente al atacante realizar ataques MITM con la finalidad de capturar tráfico de la víctima.

Por si fuera poco, en teoría un atacante podría hacer que el móvil de la víctima sólo utilizase aquellas redes que ha configurado y que controla. Este ataque, más complicado pero no imposible, implica cambiar varios parámetros de conexión del móvil pero, una vez conseguido, el atacante tiene el control del dispositivo aunque el usuario realice una restauración a cómo venía de fábrica.

Sin duda una charla interesante en la que solo hemos echado de menos alguna demostración práctica que no ha sido posible por problemas técnicos y falta de tiempo.

Este post nos llega de la mano de Ontinet, Distribuidor de ESET en España