Cuando publiqué el artículo sobre el problema de configuración insegura del cliente Mail de iPhone e iPad, aparecieron muchos que no se enteraban de nada, diciendo que eso era una chorrada, y que si el usuario no sabe para que cambiarlo.
Lo normal es que el cliente de correo electrónico bloquee por defecto la carga de todas las imágenes y archivos vinculados para que, si se confía en el remitente del mensaje, y tras ver una previsualización sin contenido externo, el usuario decida si quiere cargar o no las imágenes. Lógicamente, esto se hace mucho mejor si el cliente permitiera ver el código fuente del mensaje, para que los "dioses" que saben un poco de HTML puedan verlo... si lo desean. Sí, no es una solución perfecta, pero es la más segura.
El caso es que el problema con el cliente Mail de iPad es más putada aún, ya que si eliges no ver las imágenes remotas, no ves ninguna de ningún correo de tu buzón, y si eliges cargar las imágenes, cargas todas, es decir, que no se puede hacer con unos correos sí, y con otros correos no. Con la duda en el cuerpo, el sábado lo probé con el Windows Phone 7, que no es el teléfono que uso yo a día de hoy, y sí, funciona como debe.
En el ejemplo del otro día puse como hacer un SQL Injection, pero esto también puede ser utilizado para otras cosas más mundanas, como para ganar votaciones online, por ejemplo, sobre quién es la actriz más guapa...(aunque yo les daba el premio a todas, que conste en acta).
En una votación online siempre hay muchos riesgos de ataques automatizados, por lo que se deben tomar medidas de seguridad como:
- Que solo puedan votar usuarios autenticados.
- Que haya un sistema de captchas seguro para evitar scripts automatizados.
- Que haya un límite al número de votaciones desde la misma dirección IP por tiempo (si es una putada para los que salen por la misma IP, pero si no puedes exigir que los usarios estén autenticados, es la única opción)
- Que las peticiones sean por post.
- Que nadie vote un 14, si el límite son 9 puntos }:)
Si no se dan esas características de seguridad, como por ejemplo en la votación del diaro Las Provincias para elegir a la actriz más guapa, entonces puedes aprovechar toda la "fuerza" de tus amigos con iPad o iPhone.
El proceso es sencillo:
Paso 1: Colecta los e-mails de todos tus amig@s con iPad o iPhone: Para ello basta que revises tu correo electrónico y busques todos los correos electrónicos con el mensaje: "Enviado desde mi iPad", "Enviado desde mi iPhone" o sus versiones inglesas "Sent from my iPad" o "Sent from my iPhone". Yo tengo unos cuantos.
Siempre me gusta fijarme en cómo aparece el nombre del remitente, la firma del mensaje o alguna característica del correo electrónico para saber si el mensaje me lo han enviado desde su portátil, desde la web o desde el teléfono. Es una curiosidad personal. Sin embargo, con iPad o iPhone no es necesario comerse la cabeza pues, aunque se puede cambiar, por defecto iPhone e iPad llevan ese mensaje al más puro estilo Gollum - otra bonita característica de seguridad -.
¿No tienes suficientes amigos así?
No sufras, Internet está lleno de gente que te informa de que tiene un iPhone o un iPad y que estará deseoso de votar a quién tu quieras. Basta con hacer algunas sencillas búsquedas para crear tu base de datos. Yo lo hice mirando en mailinglistachive.com y saqué un buen número.
Seguro que si miras los foros de Apple encontrarás una gran cantidad de usuarios dispuestos a votar por quién tu quieras.
Paso 2: Busca la URL de la votación, en el caso de esta votación era bastante sencillo, ya que con mirar la URL que se invoca tras pulsar la estrella adecuada, es decir:
GET /backend/votar.php?p=5&id=4105
se puede ver que en el parámetro p está el valor de la votación y en id la actríz que se quiere votar. Sencillo y rápido.
Paso 3: Haz un correo electrónico en el que se incluya una imagen que realmente llame a la URL por GET con el voto que tú quieras y envíaselo a todos tus nuevos "amigos" con iPad e iPhone y espera que suban los votos.
Disfruta con el resultado de la votación
Sí, el fallo está en las protecciones del sistema de votaciones, pero desde que el cliente Mail de iPad funciona de esta manera, los spammers pueden aprovechar esta configuración insegura por defecto para realizar el ataque y conseguir saltarse protecciones basadas en direcciones IP en webs de votaciones... u otras cosas.
Saludos Malignos!
Actualización: En iOS 6 Apple arregló esta configuración por defecto en Mail.
Lo normal es que el cliente de correo electrónico bloquee por defecto la carga de todas las imágenes y archivos vinculados para que, si se confía en el remitente del mensaje, y tras ver una previsualización sin contenido externo, el usuario decida si quiere cargar o no las imágenes. Lógicamente, esto se hace mucho mejor si el cliente permitiera ver el código fuente del mensaje, para que los "dioses" que saben un poco de HTML puedan verlo... si lo desean. Sí, no es una solución perfecta, pero es la más segura.
El caso es que el problema con el cliente Mail de iPad es más putada aún, ya que si eliges no ver las imágenes remotas, no ves ninguna de ningún correo de tu buzón, y si eliges cargar las imágenes, cargas todas, es decir, que no se puede hacer con unos correos sí, y con otros correos no. Con la duda en el cuerpo, el sábado lo probé con el Windows Phone 7, que no es el teléfono que uso yo a día de hoy, y sí, funciona como debe.
En el ejemplo del otro día puse como hacer un SQL Injection, pero esto también puede ser utilizado para otras cosas más mundanas, como para ganar votaciones online, por ejemplo, sobre quién es la actriz más guapa...(aunque yo les daba el premio a todas, que conste en acta).
En una votación online siempre hay muchos riesgos de ataques automatizados, por lo que se deben tomar medidas de seguridad como:
- Que solo puedan votar usuarios autenticados.
- Que haya un sistema de captchas seguro para evitar scripts automatizados.
- Que haya un límite al número de votaciones desde la misma dirección IP por tiempo (si es una putada para los que salen por la misma IP, pero si no puedes exigir que los usarios estén autenticados, es la única opción)
- Que las peticiones sean por post.
- Que nadie vote un 14, si el límite son 9 puntos }:)
Si no se dan esas características de seguridad, como por ejemplo en la votación del diaro Las Provincias para elegir a la actriz más guapa, entonces puedes aprovechar toda la "fuerza" de tus amigos con iPad o iPhone.
El proceso es sencillo:
Paso 1: Colecta los e-mails de todos tus amig@s con iPad o iPhone: Para ello basta que revises tu correo electrónico y busques todos los correos electrónicos con el mensaje: "Enviado desde mi iPad", "Enviado desde mi iPhone" o sus versiones inglesas "Sent from my iPad" o "Sent from my iPhone". Yo tengo unos cuantos.
Siempre me gusta fijarme en cómo aparece el nombre del remitente, la firma del mensaje o alguna característica del correo electrónico para saber si el mensaje me lo han enviado desde su portátil, desde la web o desde el teléfono. Es una curiosidad personal. Sin embargo, con iPad o iPhone no es necesario comerse la cabeza pues, aunque se puede cambiar, por defecto iPhone e iPad llevan ese mensaje al más puro estilo Gollum - otra bonita característica de seguridad -.
¿No tienes suficientes amigos así?
No sufras, Internet está lleno de gente que te informa de que tiene un iPhone o un iPad y que estará deseoso de votar a quién tu quieras. Basta con hacer algunas sencillas búsquedas para crear tu base de datos. Yo lo hice mirando en mailinglistachive.com y saqué un buen número.
Seguro que si miras los foros de Apple encontrarás una gran cantidad de usuarios dispuestos a votar por quién tu quieras.
Paso 2: Busca la URL de la votación, en el caso de esta votación era bastante sencillo, ya que con mirar la URL que se invoca tras pulsar la estrella adecuada, es decir:
GET /backend/votar.php?p=5&id=4105
se puede ver que en el parámetro p está el valor de la votación y en id la actríz que se quiere votar. Sencillo y rápido.
Paso 3: Haz un correo electrónico en el que se incluya una imagen que realmente llame a la URL por GET con el voto que tú quieras y envíaselo a todos tus nuevos "amigos" con iPad e iPhone y espera que suban los votos.
Disfruta con el resultado de la votación
Sí, el fallo está en las protecciones del sistema de votaciones, pero desde que el cliente Mail de iPad funciona de esta manera, los spammers pueden aprovechar esta configuración insegura por defecto para realizar el ataque y conseguir saltarse protecciones basadas en direcciones IP en webs de votaciones... u otras cosas.
Saludos Malignos!
Actualización: En iOS 6 Apple arregló esta configuración por defecto en Mail.
¡También se puede un post en el ladodelmal para hacer que otra gente haga votar a los demás por Natalie Portman!
ResponderEliminarEres el Pedro J de la seguridad, Apple es tu PSOE y el iPad es ZP. Pero tranquilo que vais a sacar mayoría absoluta, take IT easy
ResponderEliminarBonita forma de empezar la mañana...
ResponderEliminarNo hay alguna manera de solucionar los fallos del Ipad y del Iphone?
Saludos!
Malo maloso, ¡pero qué malo maloso que eres!
ResponderEliminar¿Te has dado cuenta de que, fanboys politiqueros aparte, esto es una repetición de la jugada? Apple repitiendo los mismos errores que en su momento ya cometió Spectra...
Yo veo un paralelismo impresionante entre ambas empresas.
Y espera a que siga ganando terreno en el tema de los sistemas operativos de escritorio... El fallo del rpc va a ser una tontería comparado con los que le van a salir a san apple...
Esto de los fallos de apple es lo que pasa cuando no tienes ni puta idea de hacer un SO decente y escuchas al consultor tecnicoless de turno, que opina que linux es la polla, pero que lo usa mucha gente y se está devaluando, así que el apuesta por Free BSD, por lo que tu que eres una empresa con pasta te coges uno y te lo fusilas de pé a pá y luego coges al elenco de diseñadores amanerados de turno y los pones ha hacer una interfaz bonita y agradable.
ResponderEliminarCon lo que tienes un supuesto sistema robusto (consultor tecnicoless ditxit) y una interfaz chula.
Pero que pasa que cuando un SO pasa del 1% de cuota de mercad algunos malos malosos se empiezan a fijar en el, y claro, como la parte importante la hemos fusilado, y el resto está hecho por diseñadores pues...
TACHAN!!
Encima pones el ejemplo con Keira Knightley...Eso si es ser maligno...
ResponderEliminarComentas sobre poner una "falsa imágen" que haga la votación pero realmente sería una "falsa imágen rota" quiero decir: la petición http debe ser la que hace el Mail para cargar la imágen por lo que no podrias sacar una imagen "falsa" no?
ResponderEliminarPor cierto :) "Enviado desde mi iPhone" xD
Mira que vas a sacar visitas a costa del ipad... por lo menos eso de bueno tendrá :).
ResponderEliminarPor cada asunto de seguridad web que descubras puedes escribir un post y lo atacas con el ipad o el iphone y lo titulas "inseguridad en el ipad" así ayudas a la gente que no tenga muchos conocimientos y la orientas en temas de seguridad...
¿No sería más constructivo hacer un post sobre cómo implementar una lógica segura en un sistema de votaciones?
Enorme el post (otra vez)
ResponderEliminar@FiLEMASTER: tu forma de ver el mundo y tu conocimiento de una compañía del tamaño de Apple, si que merece un comentario, pero me da hasta pereza escribirlo XD casi me espero a que tu solo te des cuenta algún día =]
na, paso de darme cuenta, que luego igual me vuelvo una persona de provecho y todo, y eso si que es un marron...
ResponderEliminarAdemás si no puedo trollear en el lado del mal... ¿que me queda?
Bueno post aunque aprovechas para publicitar Windows Phone.
ResponderEliminarEl futuro es iOS y Android.
Por cierto, mi cliente de correo K-9 para Android también bloquea las imagenes externas por defecto.
apple... nada más que decir
ResponderEliminar@iPad, es lo que tienen los fallos de seguridad: Dan mucho juego. Voy a escribir un artículo sobre como ganar dinero con este fallo }:))
ResponderEliminarSaludos!
Ufff. Menos mal que Alejandro Ramos ha comentado algo sensato porque, entre la habitual cagada de FAilMASTER demostrando -como es su costumbre- que es tan sólo un fanboy sin conocimiento alguno, no ya de seguridad, sino de la más reciente Historia de la Informática, y el preocupante vector de ataque que describe el Maligno (¡suponed que en la web de "El Correo de Villaburros de Abajo" la encuesta -mal programada, eso sí- para saber si Belén Esteban es más o menos tonta que Belén Rueda es manipulada!), esta entrada tenía menos interés que los cuartos de final del festival de la OTI.
ResponderEliminarMaligno: es una vulnerabilidad (yo diría) de severidad baja que, en todo caso, tiene implicaciones para con la privacidad del destinatario (saber si Pepito ha leído ya mi correo o no). Hay mil maneras de hacer que alguien visite un enlace, y enviar un correo HTML con imágenes es sólo una de ellas. Si toda la protección de un sistema se basa en que alguien no va a visitar enlaces arbitrarios, entonces la seguridad de ese sistema es una p... mierda.
Vale que no te guste Apple y Windows sea lo mejor para ti, pero este tipo de entradas son un intento bastante absurdo de hacerlos quedar mal, cuando hay mil maneras de hacerlo mejor. Por ejemplo, contar cuánto tiempo pasa entre ciclos de parcheo (a.k.a. ventana de vulnerabilidad) del Java que trae Mac OS. Busca mejores excusas, que no es tan difícil, joder.
@Anónimo, por gente que piensa que esto es una "nimiedad" escribí esta segunda parte, y creo que voy a escribir una tercera. Que usen tu máquina para hacer acciones sin tu consentimiento por defecto es una cagada...
ResponderEliminarRespecto a lo de Mac OS..., tienes abierto El lado del mal para que nos deleites con un bonito artículo que yo te publicaré.
Saludos!
El post muy chulo, aunque no tengo esos juguetes para probarlo:(
ResponderEliminar@FilEMASTER hace muchos años, Bill Gates vendió a IBM un S.O. que ni siquiera existía. Paul Allen conocía a alguien que había hecho un S.O. y se lo compró por unos 50000$, lo modificaron y acabó siendo lo que IBM se tragó. De ahí a ms-dos hubo un paso.
También copió el entorno gráfico de Apple (que a su vez se lo birló a Xerox) para sacar la primera versión de Windows.
El fs NTFS está basado en el fs de Apple (el antiguo).
En fin, la lista es muy larga, el amigo Gates es un figura de los negocios.
Yo uso W7, IE9 y tb linux y FF para otras cosas porque me mola o me resulta útil.
A mi no me gusta Apple, pero de ahí a decir lo que tu has dicho hay un largo trecho.
Anda, mírate la historia de ambas compañías que es muy divertida, así podrás trollear aquí con más éxito :-)
Un saludo.
bah, como mola esto, pense que habia decaido pero no...
ResponderEliminarBasta con poner un par de topicazos en contra de algun linuxero o de algun fanboy de la manzanita para recibir comentarios ahi a la yugular: que si no tiene ni puta idea, que si repasa la historia, que si patatin patatán...
Sorry por el miniflame Maligno, just testing ;)
@File...
ResponderEliminarLo tuyo es para hacérselo mirar :)
si así eres feliz y te sobra el tiempo, sigue así, pero hombre, así en público no quedas muy bien y tampoco aportas nada al debate.
No llego a entender que sacas en claro, salvo unas risas (aunque no le veo la gracia a tus aportaciones, supongo que tu si)
En fin, peazo de post Chema, espero ansioso el tercero.
Un saludo y a ser feliz.
Anónimo-NoFanboy
Jue anonimo perdona, que tienes razón no aporto nada al debate, me lo voy a hacer mirar tal como me dices
ResponderEliminary es que despues de estas sabias palabras, creo que voy a dar un giro radical en mi forma de ser y a partir de ahora solo pondré comentarios con sentido y bien estructurados, nada de topicazos, tienes razón con que estoy jodiendo mi imagen pública y esto no puede seguir así...
PD: File me llaman mis amigos, y que yo sepa tu no lo eres :) a lo mejor si te identificaras...
@FilEMASTER Disculpa por llamarte file... teniendo en cuenta que no nos conocemos, no tengo el placer. Obviamente no podía saber que así te llamaban tus amistades.
ResponderEliminarLo que hagas es cosa tuya, a mi me da igual, era sólo una sugerencia con buena intención. Tu mismo:)
Ale, a disfrutar de la vida. A ver si llega pronto la tercera parte del post.
Saludos.