Los hackers del iPhone lo tienen más fácil

|

En marzo, los organizadores de una conferencia sobre seguridad informática llamada CanSecWest retaron a los asistentes a romper la seguridad del smartphone de su elección, y entre los cinco modelos disponibles estaba el popular iPhone de Apple.

Esta tarea fue percibida como de tal dificultad—especialmente el hecho de entrar en el iPhone—que fueron muy pocos los investigadores que intentaron ‘hackear’ los dispositivos, y ninguno de ellos lo logró.Ahora, dos investigadores esperan poder facilitar las cosas a aquellos que aspiren a convertirse en hackers del iPhone.




El mes que viene, Charles Miller, analista principal de Independent Security Evaluators, y Vincenzo Iozzo, estudiante de la Universidad de Milán, en Italia, presentará un modo de ejecutar código no autorizado en el dispositivo de Apple durante la Conferencia de Seguridad Black Hat en Las Vegas.


Ya se han encontrado varios tipos de vulnerabilidades en el iPhone; el pasado noviembre Apple lanzó un parche para una docena de agujeros de seguridad en su dispositivo. Sin embargo, sigue siendo complicado hacer funcionar código no autorizado una vez que este tipo de defectos han sido explotados.


Debido a lo difícil que resulta ejecutar código no autorizado en el iPhone, muchos investigadores de seguridad simplemente se niegan a dedicar mucho tiempo a encontrar cualquier tipo de defectos.


“Si lo que quieres es atacar al iPhone, tienes que poder ejecutar un código que haga lo que sea que quieres que haga,” afirma Miller.


“Quizá sea robar credenciales, quizá sea escuchar llamadas de teléfono, quizá sea encender el micrófono. ¿Quién sabe? Pero todo esto requiere que seas capaz de ejecutar el código.”


“Charlie encontró los lugares específicos en los que se permite cambiar los permisos de los iPhones de fábrica,” afirma Sergio Alvarez, consultor de seguridad en Recurity Labs y hacker del iPhone, quien además está familiarizado con el estudio de Miller e Iozzo.


“[Estas partes del teléfono] nos hacen la vida más fácil y nos dan más libertad para crear ataques genéricos y fiables de segunda etapa.”


El reto para los investigadores de seguridad y atacantes con malas intenciones reside en que Apple restringe los datos que se pueden ejectuar en la memoria del teléfono y requiere que los programas del iPhone estén criptográficamente firmados por Apple.


La firma de código tiene sus ventajas en cuanto a la seguridad, aunque también es una forma de controlar qué aplicaciones se ejecutan en la plataforma del iPhone.“En el iPhone 1.0 había muy poca seguridad,” afirma Miller.


“Sin embargo, cuando pasaron al iPhone 2.0—y no tanto porque les importase que la gente entrase en los teléfonos sino porque querían asegurarse de poder lanzar la App Store y que la gente no se descargase cualquier aplicación por ahí—la seguridad se vio incrementada.”


Sin embargo Miller descubrió un caso en el que Apple no logró prevenir que los datos no autorizados fueran ejecutados.


Esto significa que un programa puede ser cargado en la memoria como si fuera un bloque de datos no ejecutables. Una vez hecho esto, el atacante puede cambiar los datos para que se transformen en ejecutables.


Fuente: Technology Review

ARTICULOS ANTERIORES:

 

©2010 Genera tu Ingreso | Diseño de Luis Santos *Cel.: (809) 517-1725 * Para:Genera tu Ingreso *San Fco. de Macorís, Rep. Dom.