jueves, junio 13, 2024

El "misterio" de la Contraseña WiFi compartida con tu iPhone

Hoy voy a estar todo el día en OpenExpo Europe 2024 con una agenda intensa que os he dejado ayer publicada, pero antes de salir para allá, quería dejar publicado mi post diario de El lado del mal, así que me he levantado y he pensado en compartiros hoy una curiosidad de iPhone y las "Contraseñas Compartidas de redes WiFi", que puede que lo desconozcas. Es solo una curiosidad, pero me gusta mucho cómo está implementado.

Figura 1: El "misterio" de la Contraseña WiFi compartida con tu iPhone
(que no es tan misterio)

Si eres usuario de iPhone seguro que has visto alguna vez la opción de compartir una contraseña de una red WiFi. El funcionamiento es muy sencillo y cómodo, se trata de que si te vas a conectar a una red WiFi, y alguno de tus contactos está ya conectada a ella, ese contacto recibe una alerta que le permite compartir la contraseña de la WiFi contigo, con un solo clic, sin necesidad de escribir la clave ni decírtela. 

Cuando lo vi por primera vez, lo que se me pasan por la cabeza son muchos posibles escenarios de seguridad, que ya sabéis que el tema de Hacking de dispositivos iOS es algo siempre estamos investigando. 

El primero es de privacidad, porque le estás diciendo a todos tus contactos de esa red que te vas a conectar, y se anuncia a tus contactos que estás haciendo una acción concreta. Por supuesto, no parece muy relevante, porque solo se hace la primera vez que te conectas, y a los contactos tuyos conectados a esa red, así que es poco probable que eso signifique un problema para el usuario. Y a cambio tenemos la opción tan cómoda de compartir la WiFi. Así que casi que desechamos esto como riesgo.

Figura 3: Servicio de Compartir Contraseñas de Redes WiFi

Otro podría ser un problema de acceso no autorizado, y en una red WiFi de mucha gente conectada, puede ser como jugar a la lotería a ver si te toca, por lo que llegas a una empresa que tiene una red WiFi, y te intentas conectar, y esperas a ver qué pasa. Si alguno de tus contactos está por ahí conectado, y te comparte la WiFi, pues premio, tienes conexión. De nuevo, él sabrá que estás por ahí, y la probabilidad de que sea un riesgo es muy baja. 

Además, en una empresa esto no debería ser un problema porque la seguridad de las redes WiFi no deben ser basadas en PSK, que son bien conocidas las técnicas de Hacking de Redes WiFi para estas infraestructuras, sino en otros protocolos de autenticación.  Así que este riesgo lo desechamos también.
El último de los escenarios es el de que estás dando tu contraseña, y si la das por error, esa persona podrá compartirla libremente por ahí o conocer cómo configuras tú tus passwords. Este es real, aunque también de poco impacto, pero aún así, Apple ha metido una medida de protección, y es que cuando recibes la contraseña de una red WiFi por medio del servicio de "Compartir Claves WiFi", en el interfaz de usuario no te permite acceder a esta contraseña fácilmente.

Figura 4: Cuando has configurado tú la clave 
en iOS siempre puedes consultar la contraseña

Por supuesto, la clave está almacenada en el dispositivo, y siempre existirá un medio de acceder a ella, pero esto será con más dificultad que con ir a ver la información de la red WiFi y consultar la password. Así que, con esta opción se ha reducido la superficie de exposición de que tu clave esté en manos de cualquiera, además de dar a los usuarios mayor sensación de privacidad - aunque como he dicho, la clave está ahí y se puede sacar -. 

Figura 5: Cuando la clave te la han compartido, no la puedes ver.

¿Cómo? No es tan complicado, así que si he logrado picar tu curiosidad con esto, te dejo el problema para que lo intentes resolver tú. ¿Cómo puedes sacar la contraseña de una WiFi en iPhone cuya clave ha sido compartida por el servicio de Compartir Claves WiFi? Os leo...

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, junio 12, 2024

Mi Agenda para mañana en OpenExpo Europe 2024. ¡Nos vemos allí!

Mañana es OpenExpo Europe 2024 "The Power of GenAI", en el que la lista de ponentes y actividades que tenemos por allí es enorme, así que voy a estar corriendo de un lado a otro para llegar a todo. Además, el número de asistentes que hay registrados para esta ocasión ha crecido un 30% con respecto al año pasado, así que me parece que moverse por allí va a ser un poco intenso. Así que os recomiendo que vengáis pronto al evento para evitar perderos nada por las colas.
El evento empieza pronto, y la agenda completa la tienes en la web. Yo comenzaré con una charla a las 09:30, donde hablaré de GenAI, OpenGateway y Ciberseguridad. Todo eso nada más empezar la mañana, que se trata de comenzar fuerte. Pero te recomiendo que te recomiendo que te veas toda la agenda, que es brutal.

Después de mi charla, y dejarle el escenario a Carlos Santana (DotCSV) y dejarle a Alberto Granados de Microsoft dar su charla, yo iré al stand de Wayra y Tu.com donde tenemos una sorpresa para todos con Latch, que si eres "Latcher" te darémos un buen goodie.

Y luego haré dos actividades con 0xWord, yendo primero a la presentación del libro de Hacking Web3: [New] Challenge Accepted! con el gran Chema Garabito, que será en el "Welcome Area", y luego me iré al stand de 0xWord a firmar libros.

Figura 3: Presentación de Hacking Web3: [New] Challenge Accepted! con  Chema Garabito

A las 11:50 estaré en la SALA TELEFÓNICA TECH dando una charla con Enrique Ruiz Valenciano  de la empresa Disid sobre el mundo del Desarrollo de Software Seguro(SDLC) & Platform Engineering. En ella hablaremos de la importancia de controlar y agilizar el software... de una manera segura, permitiendo a las empresas subirse a las innovaciones tecnológicas de forma más competitiva y reducir riesgos.

Figura 4: 11:50 en la SALA TELEFÓNICA TECH Chema Alonso y Enrique Ruiz
"Desarrollo de Software Seguro(SDLC) & Platform Engineering"


Acabada esta actividad, me iré a la SALA MICROSOFT a las 12:15 a participar en una charla con Marcos Gómez Hidalgo, CISO y CERT Deputy Director de INCIBE, y con Inés Oliveira Ribeiro, Head of Innovation Services Wayra Spain. El tema más que interesante ¿Es España un país Ciberseguro?: La Respuesta de la IA. Ahí hablaremos sobre la estrategia nacional de ciberseguridad, sus oportunidades y riesgos. 
Y luego, por la tarde, participaré en el IPv6 Council MeetUp que este año se va a realizar dentro de OpenExpo Europe 2024, y donde estaré con Carlos RalliFran Gómez, o Rafa Sánchez, entre otros ponentes.
Además estaré en el Cocktail VIP de OpenExpo Europe, y visitando stands y haciéndome fotos con todos los que estéis por allí. Como podéis ver, tendré un día de lo más movidito y aprovechado.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares