martes, septiembre 09, 2014

Robar fotos de Apple iCloud de un usuario de iPhone

Ayer estuve en el programa de televisión "El Hormiguero" explicando cómo se pueden robar las fotos de un usuario de Apple iCloud que tenga un iPhone para  que la gente pueda entender entender de qué forma se ha podido realizar algún robo de fotos del Celebgate, para robar las fotos desnudas de las famosas. Al final, tal y como yo suponía, no ha sido un bug único sino un trabajo de mucha gente durante mucho tiempo que se ha dedicado a coleccionar este tipo de fotografías, haciendo para ello ataques dirigidos a las cuentas de las famosas.

 
Figura 1: Vídeo de la demo en el programa de El Hormiguero

Entre los trucos para robar las contraseñas se ha podido encontrar el ataque por fuerza bruta a Find My iPhone, el  robo mediante ataques man in the middle, el shoulder surfing o cualquier otro medio de ataque, pero seguro que muchos han optado por el ataque mucho más sencillo de Phishing dirigido. Esto en iOS, como se  cuenta en el libro de Hacking iPhone, es muy sencillo debido a las WebViews y la política de Apple contra el spoofing de correo electrónico y su aplicación. Vamos a ver la demo paso por paso para que se entienda mejor.

Fase 1: Spoofing, SPF y la  política de Gmail

Para hacer este ataque dirigido, el esquema que se va a utilizar es de lo más sencillo del mundo. Vamos a enviar un correo electrónico a la víctima haciéndola creer que viene de apple@apple.com. Para hacer esto nos vamos a aprovechar de que el filtro anti-spoofing de correo electrónico del dominio apple.com definido en el registro SPF (Sender Policy Framework) está configurado como un SoftFail (~s) y no como un HardFail (-s).

Figura 2: Configuración de registro SPF de apple.com

Esto quiere decir que el servidor de correo que recibe un correo del dominio apple.com que no venga de una dirección IP 17.X.X.X debería subir el scoring de posible spam, pero no darlo por malo. En el caso de que hubiera un HardFail (-s) se supone que apple.com le estaría diciendo al servidor de correo electrónico que recibe este correo que lo tire, que es falso.

Nuestra víctima de ejemplo tiene un correo electrónico creado para la ocasión de Gmail, y Google no es especialmente amigo de tirar los correos electrónicos que el registro SPF marque como SoftFail, así que, como veremos, el correo entrará en el buzón de entrada de la víctima.

Fase 2: Spam y Phishing para robar la contraseña

Para hacer el ataque, en Eleven Paths creamos un pequeño panel de control que envía el "spam" - aunque sólo sea un correo a un destinatario - con un mensaje desde el equipo de Gmail o Apple que urge a las víctimas a ir a un servidor web a revisar su configuración.

Figura 3: Panel de control web para enviar spam de phishing y capturar las claves

Por supuesto, en ese servidor web lo que hay son dos páginas de Phishing que roban el usuario y la contraseña de las víctimas y re-dirigen después a las páginas originales. Un viejo truco del mundo del fraude online. No nos hemos complicado mucho y hemos copiado el formato de los mensajes usados en campañas de verdad.

Fase 2: Alerta inútil en Gmail para iOS & Address Bar Spoofing

Cuando el mensaje de correo electrónico llega, hemos utilizado como lector Gmail para iOS. Esto es así por varios motivos. El primero de ellos es porque es el cliente oficial de Gmail para los terminales iPhone, y muchos usuarios lo utilizan y el segundo porque tiene dos debilidades dignas de resaltar.

Figura 4: En Gmail entra el  e-mail de apple.com com SPF SoftFail

La primera debilidad es que tiene una alerta de navegación externa bastante inútil que informa de que se va a proceder a una navegación externa, pero la URL que el usuario ve es la de un servidor de Gmail y no la del  servidor web de Phishing, con lo que ayuda a tranquilizar a la víctima y que haga clic en el enlace.

Figura 5: Alerta de external page que no informa bien y Address Bar Spoofing en la WebView

La segunda de ellas es  que cuando se abre, lo hace una WebView que oculta la barra de direcciones y solo muestra el campo título de la página web, lo que ayuda a que se produzca un bug de Address Bar Spoofing de libro.

Figura 6: La contraseña se recoge en el panel del servidor de phishing

Por supuesto, en cuanto el usuario introduce su usuario y su contraseña en la web de Phishing, nosotros la enviamos a nuestro panel y después re-dirigimos la navegación del WebView a la web original de Apple y/o Gmail.

Fase 3: Acceso a Apple iCloud sin alerta ni 2FA

Con la contraseña de la víctima, el siguiente paso es bastante trivial. Basta con conectarse a Apple iCloud y descargarse el backup. Existen librerías en Python para hacer esto, pero para transmitir a la gente que esto a día de hoy no es "rocket science" hemos usado una herramienta muy conocida que se llama ElcomSoft Phone Password Breaker, que ya tiene herramientas para monitorizar backups en Apple iCloud.

Figura 7: ElcomSoft Phone Password Breaker permite descargar de iCloud

Para ello se necesita introducir el usuario y la contraseña o un token de autenticación de la cuenta y listo. No hace falta robar un segundo factor de autenticación, pues aunque el usuario tenga Verificación en Dos Pasos configurada en su cuenta de Apple ID y/o Apple iCloud, el servidor de Apple iCloud lo ignora.

Figura 8: Las credenciales para descargar el backup de Apple iCloud. Elcomsoft dice que ahora puede descargar el backup sin credenciales.

Una vez conectados a su cuenta, se pueden ver todos los dispositivos que hay, el número de serie, el UDID para preparar un troyano dirigido y el número de backups que hay disponibles de ese dispositivo.

Figura 9: Se puede personalizar lo que se desea descargar del backup

Para no descargar todo puedes personalizar la descarga del backup, y bajarte lo que te interese. En este caso las fotografías de la víctima, pero podríamos descargar la base de datos de WhatsApp -  es conocido como un método para espiar WhatsApp -, la información de Facebook, Gmail, etcétera.

Figura 10: Se descarga lo seleccionado con hacer clic en Download

Una vez que se han descargado, ya lo único que hay que hacer es abrir la ubicación de descarga y tendremos acceso a las fotografías de la víctima, en este caso las de la falsa cuenta de Pablo que creamos para la ocasión.

Conclusiones

En este caso la password se roba con trucos muy conocidos y funcionales en el mundo del e-crime que todavía, a día de hoy, siguen funcionado. Tal vez porque los usuarios tienen que introducir demasiadas passwords en su vida y ya no se fijan dónde y cuándo lo hacen. Hay que intentar que cada vez que se inicia una sesión en un sitio se conozca, y por eso nosotros apostamos por algo como Latch.

Figura 11: El rollo de fotos descargado del backup de Apple iCloud

Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web - que ya está hecho según parece - que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (Ahora se envía una alerta  por e-mail).

Saludos Malignos!

35 comentarios:

Manu dijo...

Y la pregunta que más de uno se estará haciendo. Ok a la contraseña, ¿pero de donde obtienen los correos?

Anónimo dijo...

La facilidad del phising. No tiene más palabras, aunque me entran ganas de conocer que bug encontraron en iCloud para poder acceder a esas cuentas. Esperemos que ya haya sido parchado. Saludos Chema.

Gran trabajo el que haces por todas las comunidades, desde el desarrollo de software como Latch o Foca, hasta tus conferencias, que más que advertencia parecen servir de motivación. La gente necesita la simplicidad de Latch y aún así prefieren seguir vulnerables.

Anónimo dijo...

En algún momento no hace demasiado tiempo yo le informe a Google el error al anunciar la dirección google.mail en navegación externa y esto podría confundir al usuario; ellos dijerin que es una "feature" no un problema. .. juzguen uds... @mhackredcom

Anónimo dijo...

A mi me da la sensación de que la gente se lo sigue tomando a cachondeo...Yo no soy experto en seguridad como la mayoría de vosotros, pero si me lo tomo en serio.
Saludos

Anónimo dijo...

Desde mi absoluta ignorancia, y solamente por lo que he oído.
Creí entender que la culpa era de apple ya que dejaba probar con un número ilimitado de contraseñas.
Aquí el caso que se describe es uno donde el usuario tiene la culpa.
¿Porqué no haces la prueba con el caso real para saber si apple solucionó el problema?. Esto es lo que yo interpreté, si es incorrecto me disculpo.

Anónimo dijo...

Anónimo anterior, vuelve a leerte el artículo, especialmente el 2º párrafo.

5353y dijo...

Chema jajajaja ayer hubo un momento que lo pasate mal en el HORMIGUERO. :Þ cuando estabas en la parte del correo que era la papelera ehh! jajajaja "Sin riesgo no hay gloria" Un saludo y suerte ;)

Anónimo dijo...

Me gusta mucho tu blog. Por ser pejiguero, una ínfima corrección: donde dices 17.0.0.X, debería decir 17.X.X.X.

zhemn dijo...

Eres consciente de que has salido en directo, en la tele en horario de máxima audiencia? eres consciente de que para un "friki informático" (con todos mis respetos e incluyendome en la descripción) es algo realmente inimaginable? Supongo que sabrás que has conseguido que millones de personas ajenas a nuestro mundillo te vean y miren su movil con cara de duda. Eres un crack macho, muchos critican tu "mediaticidad" pero eso también es un talento y hay que saber aprovecharlo. Mi mas sincera enhorabuena y gracias por mostrarle al mundo una vez mas que estamos aquí y no es todo oro lo que reluce.

el_Coli dijo...

Lo importante de esto es: ¿a quién tengo que matar para conseguir una camiseta de Latch?

Abrazos!

Anónimo dijo...

Enhorabuena. No pude ver el programa pero bueno es un logro que salgas en un programa tan conocido. Espero que esto sirva para que la gente tenga mas cuidado con lo que hace.

Saludos crack!

Anónimo dijo...

El momento "Que iluso" es buenísimo !!!! jajajajaja

Anónimo dijo...

Al final hablas de tapar la webcam del ordenador. Eso la mayoría de la gente lo sabe, pero, ¿que pasa con las cámaras de los moviles? ¿Existe algo parecido?

Anónimo dijo...

Hola. La semana pasada estuve intentando replicar ese ataque de forma muy parecida a la del artículo, pero al llegar al menú de Elcomsoft no me permitía descargar la copia ni del iPhone ni del iPad aludiendo que debía comprar alguna característica de pago, aun cuando mi versión está registrada...
¿Alguna sugerencia?

desikoder dijo...

Os recomiendo leer un artículo que escribió un colega mio hace tiempo en http://elbinario.net/2014/05/26/viviendo-en-las-nubes/.

Es verdad, tiene toda la razón, la nube es una mierda, tenemos sistemas mas seguros que el "cloud computing", el "pendrive computing" como lo llama mi colega en broma :P

Saludos !

Anónimo dijo...

Enhorabuena Chema, estubo genial!
Saludos!

Anónimo dijo...

Chema, descansa un poco majo, que tú ya tienes para vivir de sobra y a los demás nos vas a joder todos los trucos.

LUK dijo...

Enhorabuena Chema, estuvo muy bien la demo, y explicar los peligros de privacidad en la nuve en "prime time" es algo bueno para todos.
Un saludo desde Hack Hispano.

Yo mismo dijo...

No me entero de casi nada porque soy del mundo de los mortales pero leo apasionadamente algunas de las entradas.

Las recientes entradas sobre Apple me hacen preguntarme si existe diferencias notables en cuanto a seguridad entre Apple y Android/Google o si, por el contrario, en lo que a seguridad se refiere estamos ante el mismo perro con distinto collar.

antonio dijo...

Me gusto tu aparicion en el programa,felicidades.
mira lo que pone en la pagina del video del programa.



¿Cómo han hackeado mi móvil? Nos responde Chema Alonso, un reconocido hacker, doctor en seguridad informática, autor de varios libros y autor del blog 'El hacker en el lado del mar'. Conocido entre los suyos como 'El Maligno'.

y aqui la pagina

http://www.antena3.com/programas/el-hormiguero/momentos/chema-alonso-hay-que-diferenciar-hackers-cibercriminales_2014090800939.html

Anónimo dijo...

En cada sitio leo una cosa diferente
Unos dicen fuerza bruta, otros dicen pinsing...
Otros dicen que hackearon a un amigo de la famosa y ese amigo tenia sus fotos..
Otros dicen que hackearon el movil con un virus..

¿Realmente se sabe como ocurrio?

jomarocas dijo...

bueno como he dicho, odio a apple, y lo seguire odiando por su sistema basado en liquidar a la competencia, pero esto es un halon de orejas para ellos, simple su sistema es cerrado y no es libre y nadie en el mundo puede ayudarle a auditar si codigo, en cambio en android, todo el mundo lo conoce y reportar errores de seguridad, y eso lo hace un sistema seguridad, diferenciarlo del malware que existe porque eso es de publicidad y de personas incautas que instalan todo lo que se les venga, un grandioso merecido y una satisfaccion tan enorme saber que eso les pasa por ser tan odiosos y ser la empresa que solo quiere mandar entre ellos, gracias a Dios existe android y google con sistemas muchos mas serguros

Anónimo dijo...

Que tal, buen día a todos, donde se puede conseguir el panel para enviar los correos, si alguien es tan amable de decirme? Gracias

Anónimo dijo...

CHEMAA DONDE CONSIGO EL PANEL . PASAMELO PORFIIS
O ENSEÑAME A HACERLO

Anónimo dijo...

Como se llama el panel

Anónimo dijo...

hola, soy nuevo en esto de iphone pero quisaiera hacerle una pregunta- yo me encontre un iphone 5 pero me dice que "este iphone se ha perdido y borado. inicie sesion con el ID de apple" y de ha no paso que deberia hacer no lo puedo activar,,,, una aydita porfavor

Anónimo dijo...

Ante todo mis felicitaciones no por su blog sino por su brillante carrera de superación en el ámbito de la informática. Desde mi ignorancia, y desde mi opinión como víctima de un cyberdelito, me gustaría preguntarle por la piedra angular que no sise comenta, elemento básico y necesario para realizar este timo, ¿ cómo consiguen el mail ?. Yo he sufrido un phising económico y analizando todo minuciosamente, en mi caso personal fue como consecuencia de una transacción a través de la propia página de la sucursal, tuvieron que capturar mi mail al no estar codificado en md5, con el paso por post de los formularios.. ¿Podría aclarar como sacan el mail de estas víctimas cuando no suelen ser tan tontas de usar el correo de su Facebook como primer mail personal? Gracias un curioso.

Anónimo dijo...

Donde puedo conseguir el panel de control, o, alguien me puede explicar como hacerlo?

Anónimo dijo...

Y dónde encuentro el panel de control ese?

Anónimo dijo...

Hola podrias explicar el modo de descargar el backup de icloud a traves de pyhton? Gracias.

Anónimo dijo...

todavia funciona?

Unknown dijo...


Before posting your classified ads, you should first do your research by going online and searching the estimated price and value of your car. [www.vendecarros.do] is the best website out there right now that will give you an estimated price if you were to sell privately.
Carros usados

Unknown dijo...

Buenas, alguien sabe de casualidad donde se encuentra ese panel de phishing?

Víctor Omar Diaz Tzuc dijo...

Una pregunta básica, al descargar las fotos de la cámara, ahí estarán las fotos que se ha enviado por whatsapp?

Unknown dijo...

Alguien me puede decir dónde descargado ese panel de control o si hay uno similar para ayudarme me acaban de robar el celular

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares