Ayer estuve en el programa de televisión "El Hormiguero" explicando cómo se pueden robar las fotos de un usuario de Apple iCloud que tenga un iPhone para que la gente pueda entender entender de qué forma se ha podido realizar algún robo de fotos del Celebgate, para robar las fotos desnudas de las famosas. Al final, tal y como yo suponía, no ha sido un bug único sino un trabajo de mucha gente durante mucho tiempo que se ha dedicado a coleccionar este tipo de fotografías, haciendo para ello ataques dirigidos a las cuentas de las famosas.
Entre los trucos para robar las contraseñas se ha podido encontrar el ataque por fuerza bruta a Find My iPhone, el robo mediante ataques man in the middle, el shoulder surfing o cualquier otro medio de ataque, pero seguro que muchos han optado por el ataque mucho más sencillo de Phishing dirigido. Esto en iOS, como se cuenta en el libro de Hacking iPhone, es muy sencillo debido a las WebViews y la política de Apple contra el spoofing de correo electrónico y su aplicación. Vamos a ver la demo paso por paso para que se entienda mejor.
Fase 1: Spoofing, SPF y la política de Gmail
Para hacer este ataque dirigido, el esquema que se va a utilizar es de lo más sencillo del mundo. Vamos a enviar un correo electrónico a la víctima haciéndola creer que viene de apple@apple.com. Para hacer esto nos vamos a aprovechar de que el filtro anti-spoofing de correo electrónico del dominio apple.com definido en el registro SPF (Sender Policy Framework) está configurado como un SoftFail (~s) y no como un HardFail (-s).
Figura 2: Configuración de registro SPF de apple.com |
Esto quiere decir que el servidor de correo que recibe un correo del dominio apple.com que no venga de una dirección IP 17.X.X.X debería subir el scoring de posible spam, pero no darlo por malo. En el caso de que hubiera un HardFail (-s) se supone que apple.com le estaría diciendo al servidor de correo electrónico que recibe este correo que lo tire, que es falso.
Nuestra víctima de ejemplo tiene un correo electrónico creado para la ocasión de Gmail, y Google no es especialmente amigo de tirar los correos electrónicos que el registro SPF marque como SoftFail, así que, como veremos, el correo entrará en el buzón de entrada de la víctima.
Fase 2: Spam y Phishing para robar la contraseña
Para hacer el ataque, en Eleven Paths creamos un pequeño panel de control que envía el "spam" - aunque sólo sea un correo a un destinatario - con un mensaje desde el equipo de Gmail o Apple que urge a las víctimas a ir a un servidor web a revisar su configuración.
Figura 3: Panel de control web para enviar spam de phishing y capturar las claves |
Fase 2: Alerta inútil en Gmail para iOS & Address Bar Spoofing
Cuando el mensaje de correo electrónico llega, hemos utilizado como lector Gmail para iOS. Esto es así por varios motivos. El primero de ellos es porque es el cliente oficial de Gmail para los terminales iPhone, y muchos usuarios lo utilizan y el segundo porque tiene dos debilidades dignas de resaltar.
La primera debilidad es que tiene una alerta de navegación externa bastante inútil que informa de que se va a proceder a una navegación externa, pero la URL que el usuario ve es la de un servidor de Gmail y no la del servidor web de Phishing, con lo que ayuda a tranquilizar a la víctima y que haga clic en el enlace.
La segunda de ellas es que cuando se abre, lo hace una WebView que oculta la barra de direcciones y solo muestra el campo título de la página web, lo que ayuda a que se produzca un bug de Address Bar Spoofing de libro.
Por supuesto, en cuanto el usuario introduce su usuario y su contraseña en la web de Phishing, nosotros la enviamos a nuestro panel y después re-dirigimos la navegación del WebView a la web original de Apple y/o Gmail.
Fase 3: Acceso a Apple iCloud sin alerta ni 2FA
Con la contraseña de la víctima, el siguiente paso es bastante trivial. Basta con conectarse a Apple iCloud y descargarse el backup. Existen librerías en Python para hacer esto, pero para transmitir a la gente que esto a día de hoy no es "rocket science" hemos usado una herramienta muy conocida que se llama ElcomSoft Phone Password Breaker, que ya tiene herramientas para monitorizar backups en Apple iCloud.
Para ello se necesita introducir el usuario y la contraseña o un token de autenticación de la cuenta y listo. No hace falta robar un segundo factor de autenticación, pues aunque el usuario tenga Verificación en Dos Pasos configurada en su cuenta de Apple ID y/o Apple iCloud, el servidor de Apple iCloud lo ignora.
Una vez conectados a su cuenta, se pueden ver todos los dispositivos que hay, el número de serie, el UDID para preparar un troyano dirigido y el número de backups que hay disponibles de ese dispositivo.
Para no descargar todo puedes personalizar la descarga del backup, y bajarte lo que te interese. En este caso las fotografías de la víctima, pero podríamos descargar la base de datos de WhatsApp - es conocido como un método para espiar WhatsApp -, la información de Facebook, Gmail, etcétera.
Una vez que se han descargado, ya lo único que hay que hacer es abrir la ubicación de descarga y tendremos acceso a las fotografías de la víctima, en este caso las de la falsa cuenta de Pablo que creamos para la ocasión.
Conclusiones
En este caso la password se roba con trucos muy conocidos y funcionales en el mundo del e-crime que todavía, a día de hoy, siguen funcionado. Tal vez porque los usuarios tienen que introducir demasiadas passwords en su vida y ya no se fijan dónde y cuándo lo hacen. Hay que intentar que cada vez que se inicia una sesión en un sitio se conozca, y por eso nosotros apostamos por algo como Latch.
Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web - que ya está hecho según parece - que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (Ahora se envía una alerta por e-mail).
Saludos Malignos!
Y la pregunta que más de uno se estará haciendo. Ok a la contraseña, ¿pero de donde obtienen los correos?
ResponderEliminarLa facilidad del phising. No tiene más palabras, aunque me entran ganas de conocer que bug encontraron en iCloud para poder acceder a esas cuentas. Esperemos que ya haya sido parchado. Saludos Chema.
ResponderEliminarGran trabajo el que haces por todas las comunidades, desde el desarrollo de software como Latch o Foca, hasta tus conferencias, que más que advertencia parecen servir de motivación. La gente necesita la simplicidad de Latch y aún así prefieren seguir vulnerables.
En algún momento no hace demasiado tiempo yo le informe a Google el error al anunciar la dirección google.mail en navegación externa y esto podría confundir al usuario; ellos dijerin que es una "feature" no un problema. .. juzguen uds... @mhackredcom
ResponderEliminarA mi me da la sensación de que la gente se lo sigue tomando a cachondeo...Yo no soy experto en seguridad como la mayoría de vosotros, pero si me lo tomo en serio.
ResponderEliminarSaludos
Desde mi absoluta ignorancia, y solamente por lo que he oído.
ResponderEliminarCreí entender que la culpa era de apple ya que dejaba probar con un número ilimitado de contraseñas.
Aquí el caso que se describe es uno donde el usuario tiene la culpa.
¿Porqué no haces la prueba con el caso real para saber si apple solucionó el problema?. Esto es lo que yo interpreté, si es incorrecto me disculpo.
Anónimo anterior, vuelve a leerte el artículo, especialmente el 2º párrafo.
ResponderEliminarChema jajajaja ayer hubo un momento que lo pasate mal en el HORMIGUERO. :Þ cuando estabas en la parte del correo que era la papelera ehh! jajajaja "Sin riesgo no hay gloria" Un saludo y suerte ;)
ResponderEliminarMe gusta mucho tu blog. Por ser pejiguero, una ínfima corrección: donde dices 17.0.0.X, debería decir 17.X.X.X.
ResponderEliminarEres consciente de que has salido en directo, en la tele en horario de máxima audiencia? eres consciente de que para un "friki informático" (con todos mis respetos e incluyendome en la descripción) es algo realmente inimaginable? Supongo que sabrás que has conseguido que millones de personas ajenas a nuestro mundillo te vean y miren su movil con cara de duda. Eres un crack macho, muchos critican tu "mediaticidad" pero eso también es un talento y hay que saber aprovecharlo. Mi mas sincera enhorabuena y gracias por mostrarle al mundo una vez mas que estamos aquí y no es todo oro lo que reluce.
ResponderEliminarLo importante de esto es: ¿a quién tengo que matar para conseguir una camiseta de Latch?
ResponderEliminarAbrazos!
Enhorabuena. No pude ver el programa pero bueno es un logro que salgas en un programa tan conocido. Espero que esto sirva para que la gente tenga mas cuidado con lo que hace.
ResponderEliminarSaludos crack!
El momento "Que iluso" es buenísimo !!!! jajajajaja
ResponderEliminarAl final hablas de tapar la webcam del ordenador. Eso la mayoría de la gente lo sabe, pero, ¿que pasa con las cámaras de los moviles? ¿Existe algo parecido?
ResponderEliminarHola. La semana pasada estuve intentando replicar ese ataque de forma muy parecida a la del artículo, pero al llegar al menú de Elcomsoft no me permitía descargar la copia ni del iPhone ni del iPad aludiendo que debía comprar alguna característica de pago, aun cuando mi versión está registrada...
ResponderEliminar¿Alguna sugerencia?
Os recomiendo leer un artículo que escribió un colega mio hace tiempo en http://elbinario.net/2014/05/26/viviendo-en-las-nubes/.
ResponderEliminarEs verdad, tiene toda la razón, la nube es una mierda, tenemos sistemas mas seguros que el "cloud computing", el "pendrive computing" como lo llama mi colega en broma :P
Saludos !
Enhorabuena Chema, estubo genial!
ResponderEliminarSaludos!
Chema, descansa un poco majo, que tú ya tienes para vivir de sobra y a los demás nos vas a joder todos los trucos.
ResponderEliminarEnhorabuena Chema, estuvo muy bien la demo, y explicar los peligros de privacidad en la nuve en "prime time" es algo bueno para todos.
ResponderEliminarUn saludo desde Hack Hispano.
No me entero de casi nada porque soy del mundo de los mortales pero leo apasionadamente algunas de las entradas.
ResponderEliminarLas recientes entradas sobre Apple me hacen preguntarme si existe diferencias notables en cuanto a seguridad entre Apple y Android/Google o si, por el contrario, en lo que a seguridad se refiere estamos ante el mismo perro con distinto collar.
Me gusto tu aparicion en el programa,felicidades.
ResponderEliminarmira lo que pone en la pagina del video del programa.
¿Cómo han hackeado mi móvil? Nos responde Chema Alonso, un reconocido hacker, doctor en seguridad informática, autor de varios libros y autor del blog 'El hacker en el lado del mar'. Conocido entre los suyos como 'El Maligno'.
y aqui la pagina
http://www.antena3.com/programas/el-hormiguero/momentos/chema-alonso-hay-que-diferenciar-hackers-cibercriminales_2014090800939.html
En cada sitio leo una cosa diferente
ResponderEliminarUnos dicen fuerza bruta, otros dicen pinsing...
Otros dicen que hackearon a un amigo de la famosa y ese amigo tenia sus fotos..
Otros dicen que hackearon el movil con un virus..
¿Realmente se sabe como ocurrio?
bueno como he dicho, odio a apple, y lo seguire odiando por su sistema basado en liquidar a la competencia, pero esto es un halon de orejas para ellos, simple su sistema es cerrado y no es libre y nadie en el mundo puede ayudarle a auditar si codigo, en cambio en android, todo el mundo lo conoce y reportar errores de seguridad, y eso lo hace un sistema seguridad, diferenciarlo del malware que existe porque eso es de publicidad y de personas incautas que instalan todo lo que se les venga, un grandioso merecido y una satisfaccion tan enorme saber que eso les pasa por ser tan odiosos y ser la empresa que solo quiere mandar entre ellos, gracias a Dios existe android y google con sistemas muchos mas serguros
ResponderEliminarQue tal, buen día a todos, donde se puede conseguir el panel para enviar los correos, si alguien es tan amable de decirme? Gracias
ResponderEliminarCHEMAA DONDE CONSIGO EL PANEL . PASAMELO PORFIIS
ResponderEliminarO ENSEÑAME A HACERLO
Como se llama el panel
ResponderEliminarhola, soy nuevo en esto de iphone pero quisaiera hacerle una pregunta- yo me encontre un iphone 5 pero me dice que "este iphone se ha perdido y borado. inicie sesion con el ID de apple" y de ha no paso que deberia hacer no lo puedo activar,,,, una aydita porfavor
ResponderEliminarAnte todo mis felicitaciones no por su blog sino por su brillante carrera de superación en el ámbito de la informática. Desde mi ignorancia, y desde mi opinión como víctima de un cyberdelito, me gustaría preguntarle por la piedra angular que no sise comenta, elemento básico y necesario para realizar este timo, ¿ cómo consiguen el mail ?. Yo he sufrido un phising económico y analizando todo minuciosamente, en mi caso personal fue como consecuencia de una transacción a través de la propia página de la sucursal, tuvieron que capturar mi mail al no estar codificado en md5, con el paso por post de los formularios.. ¿Podría aclarar como sacan el mail de estas víctimas cuando no suelen ser tan tontas de usar el correo de su Facebook como primer mail personal? Gracias un curioso.
ResponderEliminarDonde puedo conseguir el panel de control, o, alguien me puede explicar como hacerlo?
ResponderEliminarY dónde encuentro el panel de control ese?
ResponderEliminarHola podrias explicar el modo de descargar el backup de icloud a traves de pyhton? Gracias.
ResponderEliminartodavia funciona?
ResponderEliminar
ResponderEliminarBefore posting your classified ads, you should first do your research by going online and searching the estimated price and value of your car. [www.vendecarros.do] is the best website out there right now that will give you an estimated price if you were to sell privately.
Carros usados
Buenas, alguien sabe de casualidad donde se encuentra ese panel de phishing?
ResponderEliminarUna pregunta básica, al descargar las fotos de la cámara, ahí estarán las fotos que se ha enviado por whatsapp?
ResponderEliminarAlguien me puede decir dónde descargado ese panel de control o si hay uno similar para ayudarme me acaban de robar el celular
ResponderEliminar