Desde que comenzamos en octubre de 2019 con el proyecto de MyPublicInbox, que dentro de poco alcanzará su segundo año de vida, he recibido muchos mensajes en mi buzón público. En total han sido más de 700 mensajes de gente que ha contactado conmigo para cosas muy diversas. Desde plantearme una colaboración, una entrevista, una conferencia, participar en un podcast, hasta resolver alguna duda o pedir algún consejo en situación de problema. De estos últimos hay casos que he visto muchas veces, pero este que os voy a contar es diferente.
Me pidieron ayuda por un tema peculiar. Una persona sentía que estaba siendo vigilada por alguien ya que se encontraba con un compañero de trabajo en sitios muy extraños. Sitios donde no se suponía que esta pudiera saber que iba a estar, así que pensaba que podía tener el terminal hackeado o que le estuvieran espiando el WhatsApp porque a veces coincidía que se lo había dicho a alguien que iba a ir a una determinada cafetería, tienda o ubicación.
Contesté el mensaje con los consejos habituales para que revisara su configuración. Que mirase las sesiones de WhatsApp, que fortificara su cuenta de WhatsApp, que revisara que no le hubieran clonado la SIM, que si tenía el terminal actualizado, y que buscara si acaso ayuda para que le hicieran un análisis forense del terminal, para que descartara la presencia de un troyano.
Figura 3: Libro de Hacking iOS: iPhone & iPad (2ª Ecición) |
Sin embargo, lo que no cuadraba para el tema del troyano, era que el terminal era un iPhone, algo con lo que hemos jugado mucho para escribir el libro de Hacking iOS:iPhone & iPad (2ª Edición), y para instalar una app con troyano en un iPhone hay que hacer jailbreak, tener un 0day o conseguir una configuración muy, muy, muy insegura del dispositivo. Así que seguí haciéndole preguntas, hasta que di con el problema, que resulto ser algo tan sencillo, y tan escondido delante de los ojos como que estaba compartiendo la ubicación con esa persona con iCloud, sin ella saberlo.
Al final, la persona había aprovechado un descuido del terminal iPhone, se había ido a iMessages, entrado en la información del Chat y seleccionado la opción de compartir ubicación para siempre. Cuando esto se produce, iPhone te avisa en el mismo chat con unos mensajes, pero esta persona, después de compartir la ubicación había debido de borrar el chat - ellos hablaban habitualmente por WhatsApp y no por iMessages -, así que la víctima no había notado absolutamente nada.
La sorpresa llegó cuando entro en las opciones de Compartir Localización de iPhone, y encontró que estaba, sin saberlo, diciéndole siempre donde se encontraba, lo que le estaba generando ese problema en su vida personal. Esa persona solo tenía que usar la app de Apple de Find My para saber siempre dónde estaba y hacia donde se dirigía.
Todo se fraguó aprovechando un descuido en el que debió dejar el terminal desprotegido, y bastó solo eso para convertir una característica de seguridad y protección personal para avisar a tus amigos y familiares dónde estáis, en una herramienta de espionaje en su vida personal.
Apple NO envía un mensaje al e-mail o similares, para avisar de que has comenzado a compartir localización, y tampoco pide una confirmación con passcode para hacerlo como hace con otras características, así que está al alcance de un descuido. El atacante no necesitó utilizar ninguno de los trucos que contamos en el libro de Hacking iOS: iPhone & iPad. Solo aprovechar el descuido, así que... toma nota y revisa con quién compartes tú tu ubicación.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
No hay comentarios:
Publicar un comentario