Ha sido el fallo de seguridad más comentado durante las últimas horas y puede que lo siga siendo durante los próximos días una vez el investigador Mark Dowd publique más detalles. La verdad es que, con la información que tenemos hasta el momento parece asombroso lo sencillo que puede ser instalar una aplicación maliciosa aparentemente legítima en un dispositivo con iOS.
Pero antes de pasar a analizar este agujero de seguridad, veamos el vídeo que ha publicado este investigador donde se observa el funcionamiento del ataque:
Analizando la vulnerabilidad
Aparentemente, el fallo reside en una librería presente tanto en OS X como en iOS y que es utilizada por la funcionalidad Airdrop. Para el que no lo sepa, Airdrop es una característica que se introdujo en iOS 7 y que permite compartir ficheros entre usuarios de otros dispositivos cercanos.
Como es de esperar, esta funcionalidad se puede configurar de varias formas, tanto para aceptar ficheros de todo el mundo o solo de nuestros contactos. Normalmente, el usuario recibiría el aviso de que se le ha enviado un fichero mediante Airdrop y decidiría si quiere aceptarlo o no pero, en esta ocasión el investigador ha conseguido aprovechar esta vulnerabilidad incluso aunque el usuario no lo acepte.
Asimismo, el investigador se aprovecha de una característica de iOS que ya ha sido utilizada anteriormente en otros ataques como Masque o Wirelurker. Esta característica permite instalar aplicaciones desde fuera de la tienda oficial de Apple, ya que se pueden hacer pasar por aplicaciones generadas por una empresa para que sean usadas por sus empleados y que tiene el nombre de Enterprise/Ad-hoc Provisioning System.
De esta forma se podría instalar cualquier tipo de aplicación que quisiera un atacante, incluyendo malware que funcionaría incluso en dispositivos iPhones/iPads sin Jailbreak. Según comenta el investigador sería posible desactivar el mensaje de alerta que iOS muestra al usuario preguntándole si desea confiar en el propietario de una aplicación, lo que posibilitaría una instalación silenciosa.
Mitigación y alcance de esta vulnerabilidad
Si bien no hay que minimizar el impacto de una vulnerabilidad de este tipo, hay que tener en cuenta una serie de puntos que minimizan el impacto que esta vulnerabilidad puede tener en el mundo real. La primera de ellas es que Apple lanzó ayer mismo iOS 9 que, si bien no soluciona del todo este agujero de seguridad sí que lo mitiga en parte. Es de esperar que Apple publique una actualización dentro de poco que lo solucione definitivamente.
También hay que tener en cuenta que solo se puede realizar este ataque a usuarios de iOS y OS X que estén dentro del rango de alcance del atacante. Esto son unos pocos metros y reduce las posibilidades de usar esta vulnerabilidad a espacios reducidos o a ataques muy dirigidos sobre ciertas personas.
De hecho, no sería la primera vez que hablamos de un ataque similar puesto que ya en 2004 apareció Cabir/Caribe, una prueba de concepto para dispositivos con el sistema operativo Symbian y que usaba Bluetooth para propagarse entre los dispositivos que tenía a su alcance. Si bien supuso una revolución en su época y significó el principio del desarrollo de malware para dispositivos móviles tampoco tuvo un impacto excesivo. A día de hoy resulta difícil pronosticar sí este ataque podría tener éxito a gran escala puesto que hay muchas variables como, por ejemplo, la concentración de dispositivos vulnerables en un entorno reducido.
Así las cosas, si bien esta investigación resulta interesante porque demuestra la relativa facilidad con la que se pueden instalar aplicaciones maliciosas en dispositivos iOS y OS X, la imposibilidad de realizar un ataque de forma remota limita mucho su alcance.
Aun así, actualizar a iOS 9 es una muy buena idea para aquellos que tengan la posibilidad puesto que mitiga la posibilidad de resultar afectado. En caso de no poder actualizar, también resultaría útil deshabilitar la funcionalidad de Airdrop y la conectividad Bluetooth para así evitar recibir ficheros potencialmente peligrosos.
Créditos de la foto: Janitors / Foter / CC BY
Josep Albors