Vulnerabilidad en iOS y OSX pone en peligro las contraseñas de los dispositivos

Hace unos días se publicaron un conjunto de vulnerabilidades que permitían saltarse la seguridad e la App Store y publicar aplicaciones maliciosas para, seguidamente, acceder al llavero donde se almacenan las contraseñas críticas del usuario en sistemas de Apple, tanto Mac OSX como iOS.

 

wirelurker_iphone_mac

Contraseñas en peligro

Esta investigación fue llevada a cabo por seis investigadores de la Universidad de Indiana, la Universidad de Beijing y el Instituto de Tecnología de Georgia, cuyo artículo académico reveló una serie de fallos de seguridad que, combinados, podrían utilizar aplicaciones maliciosas para obtener acceso no autorizado a los datos almacenados por otras aplicaciones (contraseñas de iCloud, tokens de autenticación o credenciales web almacenadas en Google Chrome).

Los investigadores tuvieron primero que sortear el proceso de investigación de antecedentes de Apple para lograr publicar sus aplicaciones en la App Store. A continuación consiguieron descifrar el llavero donde se realiza el almacenamiento de contraseñas de Apple, romper sandboxes de apps para finalmente conseguir robar información confidencial de varias cuentas de alto perfil, y de sitios web. Según el informe, más del 88% de las aplicaciones estuvieron “completamente expuestas” al ataque.

“Hemos descifrado por completo el servicio de llavero utilizado en nuestros sistemas para almacenar contraseñas y otras credenciales para diferentes aplicaciones de Apple, los contenedores sandbox en OS X, y también identificamos nuevas debilidades dentro de los mecanismos de comunicación entre las aplicaciones de OS X y iOS que se pueden utilizar para robar datos confidenciales de Evernote, Facebook y otras aplicaciones de alto perfil“, comunicó a The Register el investigador principal, Luyi Xing.

El blogger de seguridad informática Krebs on Security ha publicado que el equipo también fue capaz de obtener credenciales bancarias a través de Google Chrome, con una sistema de aislamiento (sandbox) para robar el llavero del sistema, tokens de iCloud y las contraseñas de los ficheros de claves.

Según The Register, Apple fue advertida de la vulnerabilidad en febrero de 2015, y pidió a los investigadores no divulgarla durante seis meses. Los usuarios de dispositivos de Apple deben tener cuidado al descargar aplicaciones, incluso de las tiendas oficiales en iOS y Mac, consideradas seguras durante mucho tiempo.

Este fallo se suma al publicado también hace unos días y que afecta a Samsung  y a las actualizaciones a su aplicación de teclado SwiftKey, permitiendo la posibilidad de que se envíen al dispositivo ficheros maliciosos modificados por un atacante a través de un ataque Man-In-The-Middle. 600 millones de teléfonos Samsung Galaxy podrían ser vulnerables.
Mitigando posibles ataques
Siempre que hablamos de contraseñas recordamos la importancia de implementar nuevas medidas de seguridad como el doble factor de autenticación, especialmente en aquellos servicios que ya lo integran y que almacenan buena parte de nuestra información personal y vida digital como iCloud.

Apple ha confirmado estar trabajando en una solución a estas vulnerabilidades y ha empezando aplicando un filtro de seguridad en la App Store para bloquear aquellas aplicaciones que tengan la sandbox mal configurada. Puede sonar a medida drástica viendo que la cantidad de aplicaciones afectadas es afectada pero, seguramente es la medida más efectiva para conseguir que los desarrolladores parcheen sus aplicaciones y evitar casos masivos de robos de contraseñas entre usuarios de dispositivos Apple.

También es cierto que este problema podría haberse solucionado antes, es bueno saber que Apple está trabajando para proteger a sus millones de usuarios. Por su parte la labor de investigadores como los que ha descubierto estas vulnerabilidades resulta muy preciada puesto que evita que sean explotadas por delincuentes de forma masiva.

Josep Albors a partir de un post de Kyle Ellison en WeLiveSecurity.

Suplantan un correo de Movistar para propagar un troyano bancario