Apple AirTags usados para vigilar la vida de las personas #Stalkers

Hoy he leído la noticia de dos personas denunciando a Apple por que su vida se ha visto afectada por los Apple AirTags. Su privacidad se ha visto afectada, y aunque el caso es más complejo que lo que voy a explicar aquí, quería dedicar este artículo de hoy a hablar de algo que, como usuario que soy de los Apple AirTags, me lleva rondando la cabeza hace tiempo. Dejadme que os cuente la historia como yo la veo, comenzando con la preocupación con los AirPods Pro.

Figura 1: Apple AirTags usados para vigilar la vida de las personas #Stalkers

Hace un tiempo, cuando me compré los Apple AirPods Pro, y jugando con ellos para ver que cosas de Safety & Security se podía hacer que ayudaran en el Hacking de iOS (iPhone & iPad) encontré cosas que no me gustaban en seguridad y privacidad personal

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Con ellos se podía utilizar vigilar las entradas y salidas de personas, pero no ayudaba a los dueños de los Apple AirPods a encontrarlos una vez que fueran perdidos o robados, y se encontraran a una distancia mayor de la señal de BlueTooth. Con el tiempo, Apple ha hecho una actualización, que os aseguro que aún no he acabado de entender cómo funciona, en las pruebas que he hecho hasta ahora, pero que ha generado bastante preocupación. 

Figura 3: Nuevas alertas de AirPods

Varias personas me han escrito a mi buzón de MyPublicInbox preguntándome por si la estaban espiando, que esta alerta que sale hoy en día no es clara del todo. Aún no he terminado de hacer todas las pruebas que quiero hacer, pero en cuanto las tenga, os las compartiré. 

Figura 4: Explicación y demo de AirPodSpy

En el caso de los AirPods Pro de Apple es un poco peligroso, porque la mayoría de las personas que utilizan unos cascos de música no piensan que puedan ser utilizados para vigilar sus movimientos, así que las decisiones que tome Apple sobre ellos afecta a la vida de muchas personas.

Apple AirTags & Stalkers

En el caso de los Apple AirTags parece que es distinto, ya que son para eso, para localizar cosas. "Cosas" que pueden ser personas en tiempo real. Y personas que puede que no sepan que están siendo localizados con estos dispositivos. Alguna, como estas mujer que ha puesto una denuncia a Apple por los problemas que les han causado en su vida personal, y que queda reflejado en esta demanda, que merece la pena que todos los leáis en detalle.

Figura 5: Demanda contra Apple por las medidas contra Stalkers de AirTags

Hay que tener en cuenta que localización es probablemente el dato que más dice de la vida de las personas. Hace años yo impartí una conferencia titulada "Your are where you are" donde hablaba de todo esto, que creo que ilustra lo mucho que dice el dato de localización de las personas.

Figura 6: You are where you are

Pero en el caso de la vida personal de gente que tiene que lidiar con Stalkers, con acosadores, con parejas en entornos de alta presión, etcétera, usar Apple AirTags lo pone muy sencillo, porque basta con dejar uno de ellos en el maletero de un coche, entre el forro de un abrigo, o dentro de un llavero, y se podrá vigilar a una persona constantemente. 

Figura 7: No hay dudas de que se usan para Stalkear personas

Por supuesto, también se utiliza como herramienta, y es posible ver cómo lo usan los adolescentes para localizarse en noches de fiesta, colocándose el Apple AirTag como pulsera o collar y encontrar a los amigos "perdidos", "dormidos" o "desaparecidos". Pero el problema principal es cómo defendernos de los usos maliciosos. 

¿Cómo saber que estamos siendo vigilados?

Para los usuarios de iPhone existe una alerta por defecto, que es la que tienes ahí, donde te avisa de que un dispositivo AirTag te está acompañando en tu ruta, para que puedas buscarlo, y utilizar la herramienta para hacerlo sonar. Pero ni funciona siempre, ni todos los usuarios entienden esta alerta ni que pueden hacerlo sonar en un pitido no demasiado alto, la verdad.

Figura 8: Alerta de que te acompaña un AirTag

Este pitido a veces es automático, es un pitido de AirTag encontrado pero no funciona en todos los terminales iPhone según he comprobado, ni por supuesto en los terminales Android, que están totalmente desprotegidos. Si estás en tu coche, en tu casa, o en la oficina, y oyes un pitido aunque sea ligero, puede que tuvieras un  Apple AirTag escondido en el coche, o en algún otro sitio. Hay que buscar.

Figura 9: Android desprotegidos por defecto, según la demanda

Para los usuarios de Android, (probablemente que no lo conoces si tienes un Android), hay una app en Google Play hecha por Apple llamada Tracker Detect, - que deliberadamente no han querido llamar Apple AirTag Tracker Detect por eso de no reconocer el caso de uso  de Stalking -

Figura 10: app en Google Play Tracker Detect

Pero no funciona en background, no tiene alertas para avisarte cuándo te estás moviendo con un AirTag y es más que nada un botón para usar cuando tengas sospechas, así que parece que Apple no ha hecho mucho. Además, ha metido una preocupación a los usuarios de Android que no deberían tener, pues su red de sensores de iPhone, iPad, Apple Watch, MacBook es tan grande, que es virtualmente imposible que un Apple AirTag usado para vigilar un Android no tenga conectividad. Si lo detectas, eso sí, puedes hacer que suene y deshabilitarlo.

Figura 11: app en Google Play Tracker Detect

Lo que debería hacer los AirTags es, si detectan que siguen a un dispositivo Android comunicarse con él vía Google, para que sea éste el que pueda avisar a sus clientes de que un dispositivo de Apple les está siguiendo pero... ¿os imagináis la conversación para montar este servicio entre Apple y Google? Como conclusión, la demanda dice que muchos usuarios y ciudadanos están sin defensa contra esta amenaza.

Figura 12: Quejas sobre Tracker Detect

En este mundo de wearables, de smartphones, de computación ubicua, y redes de datos BLE, IoT, WiFi, etcétera, mantener la privacidad de las personas va a exigir hacer muchas cosas y tomar las decisiones tecnológicas teniendo en cuenta que ésta - la privacidad - debe ser parte del diseño desde el principio.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Dorking and Pentesting en Apps de AppStore

Ya son muchos los artículos que he escrito y las charlas que he dado sobre el uso de Tacyt para hacer dorking y pentesting a empresas usando la información de las apps que tienen publicadas. Durante todo este tiempo lo he estado haciendo con apps de Android, pero desde hace un tiempo estamos alimentando el Big Data de Tacyt con apps de iOS, lo que nos permite realizar búsquedas "similares" con las aplicaciones de iPhone, iPad y Apple Watch.

Figura 1: Dorking & Pentesting en Apps de AppStore

Estamos alimentando la base de datos, y actualmente solo tenemos algo más de 300.000 apps lo que ya permite que se empiecen a buscar cosas allí dentro. Por si quieres ver qué cosas se pueden hacer con Tacyt, te dejo la charla que di en Segurinfo Argentina en 2015, que muestra algunos ejemplos.


Figura 2: Conferencia sobre Dorking, Pentesting and Discovering with Tacty
No quiero desvelaros cosas aún, pues será en el mes de Junio cuando presentemos en detalle todas las cosas que se pueden hacer con la conjunción de los mundos de Android & iOS en una sola plataforma, pero sí quería enseñaros una muestra de la primera cosa que probé.

Figura 3: Más de 300.000 apps de AppStore analizadas con Tacyt

Una de las características que tenemos en Tacyt es la de poder buscar por ficheros dentro del paquete de la app, así que para comprobar si la calidad de las apps de iOS es tan superior a las de Android como muchos dicen, hice la primera búsqueda que me vino a la cabeza: "¿Habrá apps con un fichero password.txt que guarde la contraseña de algún servicio?".

Figura 4: Aparecen 3 apps gratuitas con un fichero password.txt

Por supuesto, la respuesta es que sí, y con este nombre tan significativo aparecen varias apps gratuitas, con lo que podemos disponer de los contenidos y revisar qué hay dentro de ese fichero en concreto.

Figura 5: El fichero password.txt de la app

Para desempaquetar y explorar el contenido una app de iOS en un sistema OS X solo tienes que cambiar la extensión de .ipa a .zip, descomprimir y, cuando salga la aplicación con extensión .app seleccionar la opción de "Mostrar el contenido del paquete". El resultado es que OS X te permite ver toda la estructura de archivos y directorios de la app.

Figura 6: Explorando el contenido de la app después de descomprimirla

Ahora solo hay que buscar el fichero password.txt et voilà, aquí está la contraseña que guarda esta app tan celosamente dentro de su contenido.

Figura 7: El fichero con la password

Al final, la revisión de AppStore es mucho más exhaustiva que la que realiza Google Play, pero no está buscando los fallos de seguridad de las apps, por lo que antes de publicar una app de tu compañía sigue siendo necesario que hagas los deberes y audites correctamente todo lo que vas a hacer público.

Saludos Malignos!

Latch Plugin Contest & Sinfonier Community Contest '15

Dentro de la lista de cosas que fuimos anunciando en nuestro Security Innovation Day 2015 hubo un par de ellas que habíamos preparado para que os entretengáis jugando con nuestras tecnologías. Al igual que el año anterior tuvimos el Latch Plugin Contest 2014, donde dimos 4 premios a los mejores proyectos de integración con Latch, este año vamos a ampliar el número de posibilidades con dos concursos. Latch Plugin Contest y Sinfonier Community Contest.

Figura 1: Latch Plugin Contest & Sinfonier Community Contest '15

La idea de estos concursos es premiar a las tres mejores implementaciones hechas con Latch y al mejor Bolt y la mejor Topología hechas con Sinfonier. Para los premios vamos a destinar 14.000 USD que repartiremos en BitCoins, como el año pasado. La información detallada la hemos puesto en la nueva Comunidad de Eleven Paths, algo que también es novedad desde este año. En los enlaces siguientes tienes todos los detalles de las fechas y cómo participar.

- Latch Plugin Contest 2015
- Latch Plugin Contest 2015 [English]
- Sinfonier Community Contest
- Sinfonier Community Contest [English]

Para que sea más fácil debatir sobre los trabajos, recibir ayuda de otros usuarios o directamente de los empleados e ingenieros de Eleven Paths, estamos volcando los contenidos a una comunidad de Get Satisfactions que ya está disponible en:

Figura 2: Eleven Paths Community

Aún no está del todo terminada, ya que los ingenieros de Get Satisfaction están aún con la puesta en producción de Latch. Ya puedes usar Latch en la comunidad desde tu perfil.

Figura 3: Pareado de Latch desde Get Satisfactions

Desde la comunidad podrás acceder a todos los detalles de las herramientas que se crean en el Laboratorio, podrás debatir sobre FOCA, sobre Evil FOCA, sobre Latch, SealSign, SmartID, Mobile Connect o cualquier otro producto, tecnología o herramienta que tengamos. Estamos trabajando para que estén todos los contenidos volcados ahí.

Figura 4: Control del sonido de un timbre con un Arduino y Latch

Por si te quieres animar a hacer alguna integración curiosa de Latch o Sinfonier, las posibilidades son cuasi infinitas. Ya os dejé un par de casos hechos por ingenieros de Eleven Paths donde se han hecho integraciones con el timbre de casa y Latch o el ejemplo de controlar un bot de Telegram por medio de Latch y Sinfonier, todo junto.  Tú te pones el límite.

Figura 5: Ganadores del Latch Plugin Contest 2014

El año pasado le entregamos los premios a las ganadores del concurso en un evento y aquí tenéis el vídeo de la entrega de premios donde ellos mismos explican qué es lo que hicieron y cómo se puede utilizar. Además, en mi canal Youtube yo tengo una lista de vídeos con ejemplos de Plugins de Latch de todo tipo.


Figura 6: Latch para Apple Watch
Además, en tus integraciones vas a poder pensar en utilizar Apple Watch, ya que como contamos en el evento ya está disponible la app de Latch para Apple Watch - aunque aún está esperando aprobación de Apple para estar disponible en la tienda -.

Saludos Malignos!