Robar fotos de Apple iCloud de un usuario de iPhone
Ayer estuve en el programa de televisión "El Hormiguero" explicando cómo se pueden robar las fotos de un usuario de Apple iCloud que tenga un iPhone para que la gente pueda entender entender de qué forma se ha podido realizar algún robo de fotos del Celebgate, para robar las fotos desnudas de las famosas. Al final, tal y como yo suponía, no ha sido un bug único sino un trabajo de mucha gente durante mucho tiempo que se ha dedicado a coleccionar este tipo de fotografías, haciendo para ello ataques dirigidos a las cuentas de las famosas.
Figura 1: Vídeo de la demo en el programa de El Hormiguero
Entre los trucos para robar las contraseñas se ha podido encontrar el ataque por fuerza bruta a Find My iPhone, el robo mediante ataques man in the middle, elshoulder surfing o cualquier otro medio de ataque, pero seguro que muchos han optado por el ataque mucho más sencillo de Phishing dirigido. Esto en iOS, como se cuenta en el libro de Hacking iPhone, es muy sencillo debido a las WebViews y la política de Apple contra el spoofing de correo electrónico y su aplicación. Vamos a ver la demo paso por paso para que se entienda mejor.
Fase 1: Spoofing, SPF y la política de Gmail
Para hacer este ataque dirigido, el esquema que se va a utilizar es de lo más sencillo del mundo. Vamos a enviar un correo electrónico a la víctima haciéndola creer que viene de apple@apple.com. Para hacer esto nos vamos a aprovechar de que el filtro anti-spoofing de correo electrónico del dominio apple.com definido en el registro SPF (Sender Policy Framework) está configurado como un SoftFail (~s) y no como unHardFail (-s).
 |
| Figura 2: Configuración de registro SPF de apple.com |
Esto quiere decir que el servidor de correo que recibe un correo del dominioapple.com que no venga de una dirección IP 17.X.X.X debería subir el scoring de posible spam, pero no darlo por malo. En el caso de que hubiera un HardFail (-s) se supone que apple.com le estaría diciendo al servidor de correo electrónico que recibe este correo que lo tire, que es falso.
Nuestra víctima de ejemplo tiene un correo electrónico creado para la ocasión deGmail, y Google no es especialmente amigo de tirar los correos electrónicos que el registro SPF marque como SoftFail, así que, como veremos, el correo entrará en el buzón de entrada de la víctima.
Fase 2: Spam y Phishing para robar la contraseña
Para hacer el ataque, en Eleven Paths creamos un pequeño panel de control que envía el "spam" - aunque sólo sea un correo a un destinatario – con un mensaje desde el equipo de Gmail o Apple que urge a las víctimas a ir a un servidor web a revisar su configuración.
 |
| Figura 3: Panel de control web para enviar spam de phishing y capturar las claves |
Por supuesto, en ese servidor web lo que hay son dos páginas de Phishing que roban el usuario y la contraseña de las víctimas y re-dirigen después a las páginas originales. Un viejo truco del mundo del fraude online. No nos hemos complicado mucho y hemos copiado el formato de los mensajes usados en campañas de verdad.
Fase 2: Alerta inútil en Gmail para iOS & Address Bar Spoofing
Cuando el mensaje de correo electrónico llega, hemos utilizado como lector Gmail para iOS. Esto es así por varios motivos. El primero de ellos es porque es el cliente oficial de Gmail para los terminales iPhone, y muchos usuarios lo utilizan y el segundo porque tiene dos debilidades dignas de resaltar.
 |
| Figura 4: En Gmail entra el e-mail de apple.com com SPF SoftFail |
La primera debilidad es que tiene una alerta de navegación externa bastante inútil que informa de que se va a proceder a una navegación externa, pero la URLque el usuario ve es la de un servidor de Gmail y no la del servidor web dePhishing, con lo que ayuda a tranquilizar a la víctima y que haga clic en el enlace.
 |
| Figura 5: Alerta de external page que no informa bien y Address Bar Spoofing en la WebView |
La segunda de ellas es que cuando se abre, lo hace una WebView que oculta la barra de direcciones y solo muestra el campo título de la página web, lo que ayuda a que se produzca un bug de Address Bar Spoofing de libro.
 |
| Figura 6: La contraseña se recoge en el panel del servidor de phishing |
Por supuesto, en cuanto el usuario introduce su usuario y su contraseña en la web dePhishing, nosotros la enviamos a nuestro panel y después re-dirigimos la navegación del WebView a la web original de Apple y/o Gmail.
Fase 3: Acceso a Apple iCloud sin alerta ni 2FA
Con la contraseña de la víctima, el siguiente paso es bastante trivial. Basta con conectarse a Apple iCloud y descargarse el backup. Existen librerías en Python para hacer esto, pero para transmitir a la gente que esto a día de hoy no es "rocket science" hemos usado una herramienta muy conocida que se llama ElcomSoft Phone Password Breaker, que ya tiene herramientas para monitorizar backups en Apple iCloud.
 |
| Figura 7: ElcomSoft Phone Password Breaker permite descargar de iCloud |
Para ello se necesita introducir el usuario y la contraseña o un token de autenticación de la cuenta y listo. No hace falta robar un segundo factor de autenticación, pues aunque el usuario tenga Verificación en Dos Pasos configurada en su cuenta de Apple ID y/o Apple iCloud, el servidor de Apple iCloud lo ignora.
 |
| Figura 8: Las credenciales para descargar el backup de Apple iCloud. Elcomsoft dice que ahora puede descargar el backup sin credenciales. |
Una vez conectados a su cuenta, se pueden ver todos los dispositivos que hay, el número de serie, el UDID para preparar un troyano dirigido y el número de backupsque hay disponibles de ese dispositivo.
 |
| Figura 9: Se puede personalizar lo que se desea descargar del backup |
Para no descargar todo puedes personalizar la descarga del backup, y bajarte lo que te interese. En este caso las fotografías de la víctima, pero podríamos descargar la base de datos de WhatsApp - es conocido como un método para espiar WhatsApp -, la información de Facebook, Gmail, etcétera.
 |
| Figura 10: Se descarga lo seleccionado con hacer clic en Download |
Una vez que se han descargado, ya lo único que hay que hacer es abrir la ubicación de descarga y tendremos acceso a las fotografías de la víctima, en este caso las de la falsa cuenta de Pablo que creamos para la ocasión.
Conclusiones
En este caso la password se roba con trucos muy conocidos y funcionales en el mundo del e-crime que todavía, a día de hoy, siguen funcionado. Tal vez porque los usuarios tienen que introducir demasiadas passwords en su vida y ya no se fijan dónde y cuándo lo hacen. Hay que intentar que cada vez que se inicia una sesión en un sitio se conozca, y por eso nosotros apostamos por algo como Latch.
 |
| Figura 11: El rollo de fotos descargado del backup de Apple iCloud |
Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web – que ya está hecho según parece – que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (ahora se puede configurar una alerta por e-mail).
Saludos Malignos!
Visto en elladodelmal
Fuente original: http://corsarioazul.com/Chema Alonso: "Hay que diferenciar entre hackers y cibercriminales".
Att. Jordi Quintás
Apple ya dijo en una nota de prensa que la seguridad de iCloud no había sido afectada tras la filtración de los polémicos selfies de algunas famosas, pero eso no significa que la compañía no pueda invertir algún que otro esfuerzo adicional para evitar que algo así se repita. Uno de esos esfuerzos es el nuevo correo electrónico que se envía cada vez que se entra en la web de iCloud. Es decir: cada vez que accedas a icloud.com, recibirás un correo avisándote de ello. De este modo, si el que ha entrado no eres tú, puedes saberlo al momento junto con la hora exacta de la intrusión y reaccionar cambiando la contraseña. Apple ya tiene este tipo de avisos para otras acciones, como cuando inicias sesión desde un nuevo dispositivo o cuando cambias la contraseña. Pueden ser cargantes, pero se convierten en salvavidas cuando alguien consigue nuestra contraseña e intenta hacer maldades con los datos que tenemos en la nube. De momento la buena noticia es que un 33% de los usuarios estadounidenses ya han reforzado su seguridad, según Tresorit.
