lunes, abril 11, 2011

Colecciona amigos con iPad (e iPhone) y gana votaciones

Cuando publiqué el artículo sobre el problema de configuración insegura del cliente Mail de iPhone e iPad, aparecieron muchos que no se enteraban de nada, diciendo que eso era una chorrada, y que si el usuario no sabe para que cambiarlo.

Lo normal es que el cliente de correo electrónico bloquee por defecto la carga de todas las imágenes y archivos vinculados para que, si se confía en el remitente del mensaje, y tras ver una previsualización sin contenido externo, el usuario decida si quiere cargar o no las imágenes. Lógicamente, esto se hace mucho mejor si el cliente permitiera ver el código fuente del mensaje, para que los "dioses" que saben un poco de HTML puedan verlo... si lo desean. Sí, no es una solución perfecta, pero es la más segura.

El caso es que el problema con el cliente Mail de iPad es más putada aún, ya que si eliges no ver las imágenes remotas, no ves ninguna de ningún correo de tu buzón, y si eliges cargar las imágenes, cargas todas, es decir, que no se puede hacer con unos correos sí, y con otros correos no. Con la duda en el cuerpo, el sábado lo probé con el Windows Phone 7, que no es el teléfono que uso yo a día de hoy, y sí, funciona como debe.

En el ejemplo del otro día puse como hacer un SQL Injection, pero esto también puede ser utilizado para otras cosas más mundanas, como para ganar votaciones online, por ejemplo, sobre quién es la actriz más guapa...(aunque yo les daba el premio a todas, que conste en acta).

En una votación online siempre hay muchos riesgos de ataques automatizados, por lo que se deben tomar medidas de seguridad como:

- Que solo puedan votar usuarios autenticados.
- Que haya un sistema de captchas seguro para evitar scripts automatizados.
- Que haya un límite al número de votaciones desde la misma dirección IP por tiempo (si es una putada para los que salen por la misma IP, pero si no puedes exigir que los usarios estén autenticados, es la única opción)
- Que las peticiones sean por post.
- Que nadie vote un 14, si el límite son 9 puntos }:)

Si no se dan esas características de seguridad, como por ejemplo en la votación del diaro Las Provincias para elegir a la actriz más guapa, entonces puedes aprovechar toda la "fuerza" de tus amigos con iPad o iPhone.

El proceso es sencillo:

Paso 1: Colecta los e-mails de todos tus amig@s con iPad o iPhone: Para ello basta que revises tu correo electrónico y busques todos los correos electrónicos con el mensaje: "Enviado desde mi iPad", "Enviado desde mi iPhone" o sus versiones inglesas "Sent from my iPad" o "Sent from my iPhone". Yo tengo unos cuantos.

Siempre me gusta fijarme en cómo aparece el nombre del remitente, la firma del mensaje o alguna característica del correo electrónico para saber si el mensaje me lo han enviado desde su portátil, desde la web o desde el teléfono. Es una curiosidad personal. Sin embargo, con iPad o iPhone no es necesario comerse la cabeza pues, aunque se puede cambiar, por defecto iPhone e iPad llevan ese mensaje al más puro estilo Gollum - otra bonita característica de seguridad -.


¿No tienes suficientes amigos así?

No sufras, Internet está lleno de gente que te informa de que tiene un iPhone o un iPad y que estará deseoso de votar a quién tu quieras. Basta con hacer algunas sencillas búsquedas para crear tu base de datos. Yo lo hice mirando en mailinglistachive.com y saqué un buen número.


Seguro que si miras los foros de Apple encontrarás una gran cantidad de usuarios dispuestos a votar por quién tu quieras.

Paso 2: Busca la URL de la votación, en el caso de esta votación era bastante sencillo, ya que con mirar la URL que se invoca tras pulsar la estrella adecuada, es decir:

GET /backend/votar.php?p=5&id=4105

se puede ver que en el parámetro p está el valor de la votación y en id la actríz que se quiere votar. Sencillo y rápido.

Paso 3: Haz un correo electrónico en el que se incluya una imagen que realmente llame a la URL por GET con el voto que tú quieras y envíaselo a todos tus nuevos "amigos" con iPad e iPhone y espera que suban los votos.

Disfruta con el resultado de la votación

Sí, el fallo está en las protecciones del sistema de votaciones, pero desde que el cliente Mail de iPad funciona de esta manera, los spammers pueden aprovechar esta configuración insegura por defecto para realizar el ataque y conseguir saltarse protecciones basadas en direcciones IP en webs de votaciones... u otras cosas.

Saludos Malignos!

Actualización: En iOS 6 Apple arregló esta configuración por defecto en Mail.

domingo, abril 10, 2011

A veces se dicen cosas

Desde casi el principio en El lado del Mal se puede decir cualquier cosa en los comentarios. Creo que cada uno debe ser responsable de lo que dice y opina, aguantando como tal la responsabilidad de haberlo dicho. Creo además que no hace daño quién quiere sino quién puede, por lo que a pesar de haber recibido insultos racistas, fuera de contexto o hipercríticos, los he dejado publicados siempre.

También es cierto, he de ser sincero, que he recibido críticas con razón, rectificaciones que me han obligado a cambiar artículos, opiniones que han hecho cambiar mi forma de pensar, o verdades como puños que me han dolido en la boca del estómago por la cruda sinceridad que profesaban bajo un elegante comentario bien escrito. En otras ocasiones, he sido yo el que me he cabreado y he puesto comentarios muy cabreado.

Los comentarios son así.

No digo que sea la forma de actuar, ya que hay otros blogs a los que respeto y admiro que tienen política de moderación de comentarios, pero yo decidí, tras un comentario crítico, que El lado del mal no la tuviera, con sus pros y sus contras.

De hecho, cuando entro a revisar los comentarios últimamente es para ver si el sistema Antispam de Blogger ha bloqueado alguno de ellos para aprobarlo, tanto si me gusta como si no. Solo recuerdo haber borrado comentarios de Spam, uno por error que volví a publicar pidiendo disulpas y... creo que ninguno más. ¡Ojo!, no estoy haciendo ninguna apología ni sacando pecho, si un día me toca alguno las pelotas y quiero borrarlo, lo borro y a tomar por saco, pero hasta el momento no lo he hecho.

Esta forma de actuar ha hecho que, en estos poco más de cinco años de vida el número de comentarios esté cerca de los 20.000, es decir, algo menos de 4.000 comentarios por año, o lo que es lo mismo, unos 10 comentarios de media en las aproximadamente 2.000 entradas de este sitio.


Figura: Número de comentarios en El lado del Mal

Como todavía no hemos llegado a los 20.000, al que tenga la desgracia de poner el comentario número 20.000 le haré algún regalo. No sé que será, tal vez unos libros, tal vez un beso o alguna camiseta de la FOCA. Quizá una FOCA Pro o unas birras en algún lugar del mundo. Ni idea. Pero algún reglao le haré.

A todos los demas, cabronazos incluidos, gracias por perder un rato plasmando vuestras opiniones. Aunque no conteste todas, debido a la carga de trabajo que suelo llevar, os juro que leo todo lo que ponéis, aunque me joda.

Saludos Malignos!

Entrada destacada

Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment. Nuestro nuevo libro en 0xWord

Pocas veces me ha hecho tanta ilusión que saliera un nuevo libro en 0xWord como con este libro de " Hacking IA: Jailbreak, Prompt Inje...

Entradas populares