miércoles, septiembre 10, 2014

Apple lanza el Phishing Universal para iCloud, además de Apple Watch, Apple Payments y iPhones más grandes

Ayer era el día en el que Apple decidió mostrar al mundo sus nuevos productos. Un iPhone 6 más grande, más rápido y más potente, un iPhone 6 plus aún más grande, en HD, que cuesta 1.000 € si quieres el biggest of the biggers, un sistema de pagos usando NFC que en un alarde disrupción han llamado Apple Payments y por último Apple Watch, el reloj inteligente de Apple - que he de decir que me ha gustado mucho todo lo que he visto de él -. Pero... yo hoy venía a hablaros de otra cosa que para muchos usuarios quizá ha pasado más inadvertido y que también ha lanzado Apple: El Phishing Universal para Apple iCloud.

Figura 1: Apple lanza el Phishing Universal para Apple iCloud

Puesta en situación

Para los que acaben de llegar del Planeta Mercurio o de la comarca de Babia en la región de León, hace unos días se produjo el Celebgate, donde algunas actrices de Hollywood aparecieron retratadas en momentos no pensados para el gran público. Tras este incidente, hubo especulaciones, investigaciones y recriminaciones sobre los fallos de seguridad que Apple, siempre en pro de la usabilidad, había relegado a planificaciones temporales más tardías.

Se habló de un bug que permitía hacer fuerza bruta a la contraseña a través de los servidores de Find My iPhone, de que Apple iCloud ignora el segundo factor de autenticación, de que el backup en iCloud NO permite una clave maestra de cifrado controlada por el usuario, de que da facilidades para robar cuentas al no permitir cambiar las preguntas de recuperación de claves, de que da facilidades al spoofing de correo al tener el filtro SPF como SoftFail, que no avisa bien a los usuarios cuando se hace uso de sus credenciales en otras ubicaciones y de que las integraciones de WebViews en apps de iPhone son malas y ayudan al Phishing al hacer Address Bar Spoofing.

Sirvan todos esos pequeños ejemplos como una breve recopilación de cosas que tal vez Apple podría pensar en mejorar para que ofrecieran un mayor grado de seguridad, y que Tim Cook zanjó en una entrevista con el Wall Street Journal diciendo: "Mejoraremos la seguridad de Apple iCloud".

Las mejoras

La primera oleada de mejoras llegó, y Apple cerró el bug de Find My iPhone que permitía hacer fuerza bruta a las credenciales, para pasar a bloquear las cuentas cuando se prueban más de 30 contraseñas distintas erróneas - lo que ha abierto que algunos se dediquen a generar problemas de soporte en Apple extras -.

Figura 2: Opción para cerrar todas las sesiones de iCloud vía navegador

En la segunda, Apple ha añadido en las opciones de cuenta de Apple iCloud dos cosas: La primera la posibilidad de cerrar todas las ubicaciones abiertas de Apple iCloud por si te has dejado la sesión abierta en un sitio remoto por descuido, pero que vale para poco más si el malo tiene la contraseña o un token de acceso a iCloud.

El phishing Universal

Y ahora viene la mejor. La segunda media: Un sistema para hacer Phishing Universal a todos los usuarios de Apple iCloud. ¿Cómo? Fácil. Institucionalizando que ahora sí, desde Apple, se te va a pedir que con urgencia cambies la contraseña. Como ya teníamos el panel de control para hacer las demos que usé en el ejemplo del robo de cuentas de iCloud con Phishing, nos enviamos un correo legítimo, lo copiamos y probamos. Es genial tener ya un modelo para engañar a las víctimas sin tener que pensar en ningún otro truco. Usa siempre éste modelo para robar cuentas.

Figura 3: El correo de phishing que hay que utilizar como plantilla en español

Años llevan las entidades bancarias diciéndole al usuario cosas como "Nunca te pedimos que cambies la contraseña por e-mail" para que Apple ahora decida que sí, que es lo que te van a pedir. Así que nada, para los amigos del fraude online ahora existe una plantilla modelo para crear el correo de spam que meta urgencia en el usuario y consiga que vaya a una página de phishing que le robe las passwords, con el mismo truco que expliqué ayer para Robar contraseñas de iCloud a un usuario de iPhone. Basta con decir "Eh, tío, alguien ha entrado en tu cuenta, si no has sido tú... ¡Cambia la password!"

Viendo esto, me alegra ver que Latch está mucho mejor pensado, ya que si alguien tiene la contraseña buena e intenta entrar una sola vez, no solo no podrá, sino que además te enteras de que la contraseña ha sido robada porque te avisa vía notificación a tu app, algo que no pasa con los sistemas como Google Authenticator o la Verificación en dos pasos de Apple en iCloud.

Saludos Malignos!

7 comentarios:

5353y dijo...

Y quien te dice que no hayan hecho esa plantilla para que la usen y consigan mas fotitos y videos!!! jajajaja
Ahora en serio, APPLE tienen un gran problema si siguen con esa política! Chema que te integren LATH en ICLOUD.
Saludos y buen miercoles :)

Anónimo dijo...

Pero latch sigue sin estar integrado en los principales servicios, hasta entonces...

Shelby dijo...

Si Apple hubiera pedido asesoría a Chema Alonso no pasarían estos problemas, mandales el CV Chema a ver si se les prende un foco y te piden soporte.

Anónimo dijo...

Gmail tambien...
Hola, xxxx:

La contraseña para tu cuenta de Google, xxxxx@gmail.com, se ha cambiado recientemente.
Si la has cambiado tú, no necesitas realizar ninguna otra acción.

Si no la has cambiado tú, es posible que tu cuenta haya sido vulnerada. Para poder volver a iniciar sesión en tu cuenta, deberás restablecer la contraseña.

Restablecer contraseña

Atentamente,
El equipo de Cuentas de Google

Unknown dijo...

Hola a todos; mi nombre es Black Fury343, pues no soy un hacker pero si me gusta mucho la informatica... pues llevo 5 meses realizando y perfeccionando el fake de iCloud de Apple.

pero necesito una asesoria del mejor para poder continuar.... Chema; hey man, necesito una asesoria.

Unknown dijo...

Chema eres un capp dejame tu whatsapp soy de Peru necesito tu ayuda .. O escribeme +51933139700

Unknown dijo...

Chema eres un capp dejame tu whatsapp soy de Peru necesito tu ayuda .. O escribeme +51933139700

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares