10 February, 2011

¿Cómo robar claves de acceso de un iPhone en 6 minutos?

Por

Para corromper un sistema y obtener información mucha veces únicamente es necesario un poco de ingenio, un buen motivo y un poco de tiempo, seis minutos para ser exactos, si el blanco se trata del iPhone de Apple.

Al menos así fue para el grupo de investigadores alemanes de Fraunhofer Institute Secure Information Technology (Fraunhofer SIT), quienes publicaron un video y la documentación necesaria para obtener las claves de acceso del teléfono, sin necesidad de códigos maliciosos o mecanismos de ruptura de contraseñas.

De acuerdo a un serie de documentos y un video demostrativo, los investigadores de la firma lograron obtener las claves de acceso debido a un error en el sistema operativo del teléfono, independientemente del modelo o versión de OS que este corriendo.

“Nuestros investigadores no tuvieron que romper el sistema de encripción de 256 bits de teléfono para obtener la clave de seguridad, localizada en el llavero de claves. La debilidad en el sistema radica en que la clave encriptada se almacena en el OS del dispositivo, de modo tal que la encripción es independiente de la clave personal, la cual se supone  debe prevenir el acceso al sistema”, cita el reporte de los expertos alemanes.

Los expertos afirman que aunque el ataque no ha sido aprovechado por los cibercriminales, sí representa un riesgo para las compañías que utilizan el dispositivo dentro de su infraestructura.

“La vulnerabilidad está en cualquier aparato que corre iOS (iPods, iPhones y iPads). Si el hacker obtiene la clave de acceso, no tendrá restricción alguna para e resto de los datos: accesos de redes VPN, correos electrónicos y claves, notas, documentos, acceso a aplicaciones y servicios”, subrayan.

En ese mismo sentido, Graham Culey, CTO de la firma de seguridad Sophos afirma en su blog que el lado bueno del problema, es que los atacantes requieren tener el equipo físicamente, de lo contrario no hay riesgo alguno. Sin embargo apunta que esto no es garantía alguna, debido al corto lapso (6 minutos) que se requiere para hackear el equipo.

“Cuántas personas no pierden o extravían sus teléfonos. Más aún cuando salimos a comer o tomar un café a veces dejamos el teléfono en nuestro lugar de oficina, por mucho más tiempo que seis minutos y ese es todo el lapso que requieren para obtener acceso a tu dispositivo”, cita Culey.

Para lograr el robo de clave, los atacantes sólo necesitan corre el programa de Jailbreaking del teléfono, copiar el script de acceso al sistema del llavero de claves y ejecutar el script que revela los contraseñas,  cuentas y documentos secretos en el equipo.

Pero dejaremos que los mismo expertos no lo demuestren con el siguiente video.