Colecciona amigos con iPad (e iPhone) y gana votaciones
Cuando publiqué el artículo sobre el problema de configuración insegura del cliente Mail de iPhone e iPad, aparecieron muchos que no se enteraban de nada, diciendo que eso era una chorrada, y que si el usuario no sabe para que cambiarlo.
Lo normal es que el cliente de correo electrónico bloquee por defecto la carga de todas las imágenes y archivos vinculados para que, si se confía en el remitente del mensaje, y tras ver una previsualización sin contenido externo, el usuario decida si quiere cargar o no las imágenes. Lógicamente, esto se hace mucho mejor si el cliente permitiera ver el código fuente del mensaje, para que los "dioses" que saben un poco de HTML puedan verlo... si lo desean. Sí, no es una solución perfecta, pero es la más segura.
El caso es que el problema con el cliente Mail de iPad es más putada aún, ya que si eliges no ver las imágenes remotas, no ves ninguna de ningún correo de tu buzón, y si eliges cargar las imágenes, cargas todas, es decir, que no se puede hacer con unos correos sí, y con otros correos no. Con la duda en el cuerpo, el sábado lo probé con el Windows Phone 7, que no es el teléfono que uso yo a día de hoy, y sí, funciona como debe.
En el ejemplo del otro día puse como hacer un SQL Injection, pero esto también puede ser utilizado para otras cosas más mundanas, como para ganar votaciones online, por ejemplo, sobre quién es la actriz más guapa...(aunque yo les daba el premio a todas, que conste en acta).
En una votación online siempre hay muchos riesgos de ataques automatizados, por lo que se deben tomar medidas de seguridad como:
- Que solo puedan votar usuarios autenticados.
- Que haya un sistema de captchas seguro para evitar scripts automatizados.
- Que haya un límite al número de votaciones desde la misma dirección IP por tiempo (si es una putada para los que salen por la misma IP, pero si no puedes exigir que los usarios estén autenticados, es la única opción)
- Que las peticiones sean por post.
- Que nadie vote un 14, si el límite son 9 puntos }:)
Si no se dan esas características de seguridad, como por ejemplo en la votación del diaro Las Provincias para elegir a la actriz más guapa, entonces puedes aprovechar toda la "fuerza" de tus amigos con iPad o iPhone.
El proceso es sencillo:
Paso 1: Colecta los e-mails de todos tus amig@s con iPad o iPhone: Para ello basta que revises tu correo electrónico y busques todos los correos electrónicos con el mensaje: "Enviado desde mi iPad", "Enviado desde mi iPhone" o sus versiones inglesas "Sent from my iPad" o "Sent from my iPhone". Yo tengo unos cuantos.
Siempre me gusta fijarme en cómo aparece el nombre del remitente, la firma del mensaje o alguna característica del correo electrónico para saber si el mensaje me lo han enviado desde su portátil, desde la web o desde el teléfono. Es una curiosidad personal. Sin embargo, con iPad o iPhone no es necesario comerse la cabeza pues, aunque se puede cambiar, por defecto iPhone e iPad llevan ese mensaje al más puro estilo Gollum - otra bonita característica de seguridad -.

¿No tienes suficientes amigos así?
No sufras, Internet está lleno de gente que te informa de que tiene un iPhone o un iPad y que estará deseoso de votar a quién tu quieras. Basta con hacer algunas sencillas búsquedas para crear tu base de datos. Yo lo hice mirando en mailinglistachive.com y saqué un buen número.

Seguro que si miras los foros de Apple encontrarás una gran cantidad de usuarios dispuestos a votar por quién tu quieras.
Paso 2: Busca la URL de la votación, en el caso de esta votación era bastante sencillo, ya que con mirar la URL que se invoca tras pulsar la estrella adecuada, es decir:
GET /backend/votar.php?p=5&id=4105
se puede ver que en el parámetro p está el valor de la votación y en id la actríz que se quiere votar. Sencillo y rápido.
Paso 3: Haz un correo electrónico en el que se incluya una imagen que realmente llame a la URL por GET con el voto que tú quieras y envíaselo a todos tus nuevos "amigos" con iPad e iPhone y espera que suban los votos.
Disfruta con el resultado de la votación
Sí, el fallo está en las protecciones del sistema de votaciones, pero desde que el cliente Mail de iPad funciona de esta manera, los spammers pueden aprovechar esta configuración insegura por defecto para realizar el ataque y conseguir saltarse protecciones basadas en direcciones IP en webs de votaciones... u otras cosas.
Saludos Malignos!
Actualización: En iOS 6 Apple arregló esta configuración por defecto en Mail.
Lo normal es que el cliente de correo electrónico bloquee por defecto la carga de todas las imágenes y archivos vinculados para que, si se confía en el remitente del mensaje, y tras ver una previsualización sin contenido externo, el usuario decida si quiere cargar o no las imágenes. Lógicamente, esto se hace mucho mejor si el cliente permitiera ver el código fuente del mensaje, para que los "dioses" que saben un poco de HTML puedan verlo... si lo desean. Sí, no es una solución perfecta, pero es la más segura.
El caso es que el problema con el cliente Mail de iPad es más putada aún, ya que si eliges no ver las imágenes remotas, no ves ninguna de ningún correo de tu buzón, y si eliges cargar las imágenes, cargas todas, es decir, que no se puede hacer con unos correos sí, y con otros correos no. Con la duda en el cuerpo, el sábado lo probé con el Windows Phone 7, que no es el teléfono que uso yo a día de hoy, y sí, funciona como debe.
En el ejemplo del otro día puse como hacer un SQL Injection, pero esto también puede ser utilizado para otras cosas más mundanas, como para ganar votaciones online, por ejemplo, sobre quién es la actriz más guapa...(aunque yo les daba el premio a todas, que conste en acta).
En una votación online siempre hay muchos riesgos de ataques automatizados, por lo que se deben tomar medidas de seguridad como:
- Que solo puedan votar usuarios autenticados.
- Que haya un sistema de captchas seguro para evitar scripts automatizados.
- Que haya un límite al número de votaciones desde la misma dirección IP por tiempo (si es una putada para los que salen por la misma IP, pero si no puedes exigir que los usarios estén autenticados, es la única opción)
- Que las peticiones sean por post.
- Que nadie vote un 14, si el límite son 9 puntos }:)
Si no se dan esas características de seguridad, como por ejemplo en la votación del diaro Las Provincias para elegir a la actriz más guapa, entonces puedes aprovechar toda la "fuerza" de tus amigos con iPad o iPhone.
El proceso es sencillo:
Paso 1: Colecta los e-mails de todos tus amig@s con iPad o iPhone: Para ello basta que revises tu correo electrónico y busques todos los correos electrónicos con el mensaje: "Enviado desde mi iPad", "Enviado desde mi iPhone" o sus versiones inglesas "Sent from my iPad" o "Sent from my iPhone". Yo tengo unos cuantos.
Siempre me gusta fijarme en cómo aparece el nombre del remitente, la firma del mensaje o alguna característica del correo electrónico para saber si el mensaje me lo han enviado desde su portátil, desde la web o desde el teléfono. Es una curiosidad personal. Sin embargo, con iPad o iPhone no es necesario comerse la cabeza pues, aunque se puede cambiar, por defecto iPhone e iPad llevan ese mensaje al más puro estilo Gollum - otra bonita característica de seguridad -.

¿No tienes suficientes amigos así?
No sufras, Internet está lleno de gente que te informa de que tiene un iPhone o un iPad y que estará deseoso de votar a quién tu quieras. Basta con hacer algunas sencillas búsquedas para crear tu base de datos. Yo lo hice mirando en mailinglistachive.com y saqué un buen número.

Seguro que si miras los foros de Apple encontrarás una gran cantidad de usuarios dispuestos a votar por quién tu quieras.
Paso 2: Busca la URL de la votación, en el caso de esta votación era bastante sencillo, ya que con mirar la URL que se invoca tras pulsar la estrella adecuada, es decir:
GET /backend/votar.php?p=5&id=4105
se puede ver que en el parámetro p está el valor de la votación y en id la actríz que se quiere votar. Sencillo y rápido.
Paso 3: Haz un correo electrónico en el que se incluya una imagen que realmente llame a la URL por GET con el voto que tú quieras y envíaselo a todos tus nuevos "amigos" con iPad e iPhone y espera que suban los votos.
Disfruta con el resultado de la votación
Sí, el fallo está en las protecciones del sistema de votaciones, pero desde que el cliente Mail de iPad funciona de esta manera, los spammers pueden aprovechar esta configuración insegura por defecto para realizar el ataque y conseguir saltarse protecciones basadas en direcciones IP en webs de votaciones... u otras cosas.
Saludos Malignos!
Actualización: En iOS 6 Apple arregló esta configuración por defecto en Mail.






DragonJAR
8.8 Chile
Ekoparty
e-Hack MX
AREA 51
Comunidad Dojo Panamá
ARPAHE SOLUTIONS 




