Ya he hablado muchas veces de los pequeños "issues" en seguridad que acompañan a los ay!fon y los ay!pads. Desde los problemillas de gestión del correo electrónico, a las conexiones a las redes WiFi "conocidas". Sin embargo, cuando pensaba que no iba a sorprenderme, resulta que hay otro comportamiento que me ha vuelto a dejar atónito y es el de la elección de la conexión de red por la que enviar el tráfico.
Vamos a suponer que vas con tu ay!pad o tu ay!fon tan supermegacontento trabajando en un tren, un avión o un aeropuerto, y no has tenido la precaución de apagar la conexión WiFi. Además de estar difundiendo tu dirección BlueTooth por esa curiosa característica que tienen los ay!devices de usarlas consecutivas, resulta que además estás pidiendo a gritos que te roben el tráfico.
Supongamos que alguien, con toda su buena intención, realiza un programa que envía beacon frames de redes WiFi conocidas, por ejemplo Plublic, Free WiFi, Starbucks, Novotel, o cualquier otra. Supongamos que ese tipo tiene un diccionario la mar de repleto de nombres comunes para estas redes.
Si tu ay!fon o ay!pad tiene una de ellas en la lista de redes conocidas, resulta que se intentará conectar ipso-facto, momento en que el atacante le aceptará con todo el amor del mundo en el seno de su rogue AP.
Una vez producido tan singular y sensual encuentro entre el ay!cacharro y el rogue AP, atraído por un magnetismo especial, el dispositivo de la manzana pasará a, sin decir ni pio ni yo no he sido, enviar todo el tráfico de red a través de la conexión WiFi. Este comportamiento es totalmente transparente.
Si a esto le añadimos que el User-Agent en iOS es tan explícito, y que todos los sistemas operativos de todos los ay!cacharros a excepción de la última versión de iOS 4.3.5 son vulnerables a ataques man in the middle con SSLSniff, aquello puede ser una fiesta.
Si quieres comprobar por ti mismo esta forma de proceder, conecta tu cacharro a Internet por 3G o GPRS - cuidado porque los ay!cacharros no permiten forzar tampoco conexiones 3G y un atacante puede forzarte una conexión GPRS a una red spoffeada y tampoco te avisan cuando la conversación va sin cifrado - y envía tráfico.
En segundo lugar, comprueba el tráfico generado en las estadísticas de uso que están en Ajustes/General/Uso, donde se pueden ver los datos de tráfico enviado y recibido por la red móvil.
Después conecta un AP con el nombre de una red conocida y con acceso a Internet cerca de tu ay!fon o ay!pad para que éste se conecte automáticamente. Continúa navegando por Internet y después comprueba otra vez las estadísticas de uso de la red móvil, para que veas que no se ha enviado ni un bit más por ella.
Así que, desactiva tu WiFi cuando no estés en tu entorno inalámbrico habitual, borra todas las WiFis después de usarlas - recuerda que solo puedes hacerlo si están en tu rango de alcance - estáte atento al iconito de la WiFi que aparece arriba y si puedes utiliza siempre una conexión VPN con tu ay!fon o ay!pad para navegar, que el que evita la ocasión, evita el peligro...
Saludos Malignos!
Como siempre, la seguridad siempre paga el pato de la usabilidad. Pero aún así sigue sorprendiéndome cómo los SO de Smartphones llevan de serie tan flojito el tema configurabilidad Wifi (mi teléfono Android también me desespera, si quiero que no se conecte a una red Wifi cuya contraseña conoce tengo que borrarla).
ResponderEliminarEso sí, reconozco que lo de que tengas que tener la red inalámbrica al alcance para borrarla es un giro retorcido más, me parece una "cagada" (con perdón, pero es así).
Y para más diversión: la famosa pineapple de hak5.org
ResponderEliminarUna fonera tuneada con jasagger, que se hace pasar por tu AP, se asocia a tu cacharro, y se pone capturar packets hasta que funda la bateria...
http://hak5.org/episodes/episode-401-wi-fi-pineapples
A que mola?
No hace falta probar ssid conocidos al hazar. Si el iPhone tiene activa la wifi constantemente estará mandando asociaciones a los AP conocidos. Si tienes una wifi en modo monitor cerca podrás conseguir todos los ssid que ese iPhone conoce. Lo cual facilita bastante las cosas.
ResponderEliminarMe preocupa mas esto http://www.elpais.com/articulo/tecnologia/programa/permite/capturar/trafico/GPRS/moviles/elpeputec/20110811elpeputec_1/Tes
ResponderEliminarPero lo de forzar 3g no es una vulnerabilidad Ai!fon .....¿no es obligatorio por ley? que si no tienen cobertura 3G el cacharro se pasa a GPRs Eso me parecio entender en el video de la Rooted de José Picó y David Pérez "El ataque con la base".
ResponderEliminarSaludos.
@Villaveiran por ley no creo, porque mi móvil me permite la opción de "sólo 3G" de forma que no haga fallback automático 3G->2G al perder cobertura.
ResponderEliminar@Bambuka ese mismo comportamiento ocurría en Android, si no recuerdo mal los chicos de Taddong reportaron el comportamiento inseguro (facilitaba mucho el escenario de ataque)
Pero esos aparatos están precisamente para eso no? La máquinaria de espionaje está perfectamente enrezdada. Los telefoninos hacen de todo sin tu permiso. Saludos.
ResponderEliminarEntonse..., cuando me aburra un poco puedo poner un ap en mi móvil con un essid "default" y todos los ifones se conectarán y empezarán a enviar paquetes que puedo guardar con un sniffer (shark en android) para luego cotillear en mi casa...
ResponderEliminarcurioso, curioso...
Pues yo tengo un android 2.3 y un día instalando un 3com me conecte cuando no tenia clave y se guardo el AP, unos días después iba en la calle y comenzó a sonar (no tengo plan de datos) me habían llegado unos tweets y rápidamente reviso y estoy conectado una red wireless 3com sin clave =/
ResponderEliminarSi se intenta conectar a una red protegida con el mismo nombre, ¿no lo hace usando la configuración WEP/WPA y la clave guardada, y que al no servir con la red del falso router, ya no existiría riesgo? Entonces se terminaría la conexión y no se filtraría información ¿no?, o si no, qué datos son vulnerables. Un saludo.
ResponderEliminar