domingo, octubre 24, 2021

iPhone Anti-Theft: Activation Lock, Find My y la Mesh Network detectar Lost iPhones

El robo de dispositivos de alta gama - entre los que se encuentran los terminales iPhone - es cada vez más complicado para los ladrones que quieran aprovechar este negocio, así que ten mucho cuidado si te compras un terminal iPhone de segunda mano y viene protegido por Activation Lock y está marcado como perdido en Find My, o como robado con una denuncia en la policía, porque no vas a conseguir usarlo y ahora es probable que te encuentren, algo que antes no pasaba.

Figura 1: iPhone Anti-Theft: Activation Lock, Find My
y la Mesh Network detectar Lost iPhones

Los ladrones de terminales iPhone que los roban lo primero que intentaban después, por todos los medios posibles, conseguir la contraseña del Apple ID asociado a este dispositivo. Esto es porque en los terminales iPhone, si el dispositivo está asociado a una cuenta de Apple ID, este no va a poder utilizarse con otra hasta que con el mismo usuario se decida hacer la transferencia. Y los ladrones han aprendido mucho, que tenemos un largo Hall of Shame de ladrones en modo EPIC FAIL!

Los ladrones que conseguían robar el Apple ID de la víctima - normalmente con ataques de Phishing diciéndole al dueño legítimo que Find My iPhone había localizado su terminal para que diera su contraseña en una web más falsa que los billetes de doce euros -, tenían éxito en su robo y podían venderlo de segunda mano. O esperaban a que apareciera una forma de hacer jailbreak y hackear el iPhone desde el Firmware para no necesitar nunca el usuario y la password del AppleID.

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo Gonzáleez y Alejandro Ramos entre otros.

Con el forzado del Segundo Factor de Autenticación, es aún más complicado, puesto que cuando se intenta acceder con una cuenta de Apple ID para hacer la desactivación del terminal, se produce una validación de la ubicación dónde se está intentando hacer login, lo que desvela dónde está el terminal de verdad, y se puede localizar por el dueño sin necesidad de aprobar el login al atacante, lo que les ha desincentivado bastante.

Figura 3: Tu terminal iPhone permanecerá localizable aún apagado.

Aún así, los ladrones de estos terminales cuentan también en iOS 15 con que los terminales, aún cuando están apagados, tiene suficiente batería en los chips U1BlueTooth Low Energy y NFC reportan la dirección física del dispositivo a los equipos de Apple que encuentran en su alcance, y estos, funcionando como una Mesh Network reportan a Find My la ubicación del dispositivo iPhone. Tu terminal participa de esta red de localización de dispositivos perdidos, y puedes configurarlo para que no se use como nodo si quieres. Yo lo tengo activado para ayudar a localizar los terminales "Lost".

Figura 4: Participar en la red de Find My

Antes, los atacantes apagaban el dispositivo o lo reinstalaban completamente, para intentar que no hubiera ningún reporte a Find My, pero desde que está esta nueva función, los terminales deben estar siempre lejos de cualquier dispositivo de Apple en el mundo, en una bolsa o jaula de Faraday para ser encendidos sin que se reporte su ubicación. Pero claro.... ¿cómo consiguen desactivar Activation Lock y el Lost Mode en Find My sin conectarlo a Internet?

Y esta reflexión viene a colación de una pregunta que un estudiante de Escuela 42 me ha hecho a través de mi buzón público en MyPublicInbox de si tenía sentido o no poner seguridad - pidiendo el passcode o con FaceID - para apagar un terminal iPhone

No sería algo lógico que para apagarlo te pidiese un face id, una password o cualquier otro tipo de verificación, a fin de alargar ese tiempo (mientras dure la batería) en el que te han robado para poder sacar provecho de las aplicaciones de localización de terminales perdidos?

La respuesta es que sí que es verdad que eso dificultaría al atacante un poco - igual que el truco de evitar que pusieran el iPhone en Modo Avión - pero que los ladrones, con una bolsa de Faraday de 10 € ya se lo saltarían. Es decir, todos los usuarios de iPhone tendrían una "incomodidad" más en el apagado del dispositivo, pero que no resolvería el problema de la bolsa de Faraday.
Por supuesto, cabe la posibilidad de que Apple ponga una opción para pedir passcode en el apagado, al igual que la podría pedir para atender una llamada, pero parece que son funciones básicas del terminal donde prima la usabilidad a la seguridad, y realmente no elimina el problema de la bolsa de faraday. Eso sí, me gustaría recalcar que Apple, como pedí hace ya mucho tiempo, debería hacer algo similar a esto con los AirPods Pro.

Figura 6: Activar el Lost Mode en Find My

Como recomendación personal, no compres terminales iPhone si no son en empresas que hagan el refurbished de manera oficial, profesional, y que te garanticen que la procedencia es la misma. Si es a un particular, comprueba que el IMEI del dispositivo no está marcada como "Lost" en su Find My y que no tiene Activation Lock activado.. Por otro lado, si te han robado el iPhone, entonces denúncialo en la Policía, con todos los detalles del mismo IMEI incluido, y márcalo en Find My como "Lost", no le harás la vida nada fácil al ladrón y hay altas posibilidades de que lo encuentres hoy en día como el nuevo modo de reporte de Find My.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares