Video: Robar fotos de Apple iCloud de un usuario de iPhone - Chema Alonso (Noviembre 2024)
Para la próxima conferencia Black Hat de este año, el resumen de una charla en particular ha llamado la atención de la gente. En él, los investigadores dicen que demostrarán una estación de carga pública de aspecto inocuo que puede tomar el control de su dispositivo iOS.
Andy Greenberg en Forbes llamó nuestra atención por primera vez sobre la próxima presentación titulada "Mactans: Inyección de malware en dispositivos iOS a través de cargadores maliciosos". Los autores Billy Lau, Yeongjin Jang y Chengyu Song escriben que su cargador malicioso, denominado "Mactans", está construido con una computadora BeagleBoard, de una sola placa cuadrada de tres pulgadas de Texas Instruments. Esto no encajaría en el pequeño adaptador de CA provisto por Apple, pero los investigadores escriben que su prototipo fue hecho con "una cantidad limitada de tiempo y un presupuesto pequeño". También sugieren que un atacante más dedicado podría hacerlo aún mejor.
"Investigamos hasta qué punto se consideraban las amenazas de seguridad al realizar actividades cotidianas como cargar un dispositivo", escriben los investigadores. "Los resultados fueron alarmantes: a pesar de la gran cantidad de mecanismos de defensa en iOS, inyectamos con éxito software arbitrario en dispositivos Apple de última generación que ejecutan el último software de sistema operativo (SO)".
Según los informes, el ataque afecta a todos los usuarios de iOS, no requiere que la víctima tenga un dispositivo con jailbreak y puede ejecutarse en menos de un minuto. Además de describir cómo eludir la seguridad incorporada de Apple, los investigadores escriben que también han trazado un medio para facilitar una infección de malware en curso. "Para garantizar la persistencia de la infección resultante, mostramos cómo un atacante puede ocultar su software de la misma manera que Apple oculta sus propias aplicaciones integradas", dijeron los investigadores.
Entrando furtivamente con los electrones
Esta no es la primera vez que las estaciones de carga públicas han sido señaladas como un posible peligro. Krebs on Security señaló que Aires Security estableció una estación de carga pública en DefCon 2011 con un objetivo similar. Cuando no se conectaban teléfonos, mostraba un atractivo cartel azul. Una vez que alguien enchufó su teléfono, cambió a una advertencia de color rojo brillante.
La estación de carga de Aires Security era más una prueba de concepto, y una benigna en eso. En lugar de robar sus datos o instalar software malicioso, en su lugar emitió un mensaje: "No debe confiar en los quioscos públicos con su teléfono inteligente. La información se puede recuperar o descargar sin su consentimiento", decía un cartel en el quiosco. "Afortunadamente para ti, esta estación ha tomado la ruta ética y tus datos están seguros. ¡Disfruta del cargo gratis!"
Las baterías en las computadoras portátiles también se han citado como un vector de ataque potencial. También en 2011, el investigador de seguridad Charlie Miller presentó su caso para apuntar a los microcontroladores de batería en las computadoras portátiles Apple. Miller cree que el firmware de la batería podría reescribirse para sobrecalentarse y dañar físicamente la computadora portátil, o incluso usarse como un vector para ejecutar código malicioso dentro de la computadora.
Afortunadamente, todos estos argumentos se presentan en un contexto académico. Según los informes, los investigadores de Mactans se han puesto en contacto con Apple con su trabajo, aunque (como era de esperar) aún no han recibido respuesta. Dicho esto, es posible que desee confiar en su propio equipo de carga. Por si acaso.
