LUK
09-09-2014, 15:36
Ayer nuestro amigo Chema Alonso estuvo en el programa de televisión "El Hormiguero" explicando cómo se pueden robar las fotos de un usuario de Apple iCloud que tenga un iPhone para que la gente pueda entender entender de qué forma se ha podido realizar algún robo de fotos del Celebgate, para robar las fotos desnudas de las famosas.
Al final, tal y como yo suponía, no ha sido un bug único sino un trabajo de mucha gente durante mucho tiempo que se ha dedicado a coleccionar este tipo de fotografías, haciendo para ello ataques dirigidos a las cuentas de las famosas.
Enlace al video: http://www.antena3.com/videos-online/programas/el-hormiguero/momentos/chema-alonso-hay-que-diferenciar-hackers-cibercriminales_2014090801024.html
Figura 1: Vídeo de la demo en el programa de El Hormiguero
Entre los trucos para robar las contraseñas se ha podido encontrar el ataque por fuerza bruta a Find My iPhone (http://www.seguridadapple.com/2014/09/bug-en-icloud-es-este-el-fallo-del-leak.html), el robo mediante ataques man in the middle, el shoulder surfing o cualquier otro medio de ataque, pero seguro que muchos han optado por el ataque mucho más sencillo de Phishing dirigido. Esto en iOS, como se cuenta en el libro de Hacking iPhone (http://0xword.com/es/libros/39-libro-hacking-dispositivos-ios-iphone-ipad.html), es muy sencillo debido a las WebViews (http://www.seguridadapple.com/2013/10/phishing-client-side-attacks-ios-sigue.html) y la política de Apple contra el spoofing de correo electrónico y su aplicación. Vamos a ver la demo paso por paso para que se entienda mejor.
Fase 1: Spoofing, SPF y la política de Gmail
Para hacer este ataque dirigido, el esquema que se va a utilizar es de lo más sencillo del mundo. Vamos a enviar un correo electrónico a la víctima haciéndola creer que viene de [email protected]. Para hacer esto nos vamos a aprovechar de que el filtro anti-spoofing de correo electrónico del dominio apple.com definido en el registro SPF (Sender Policy Framework) (http://www.elladodelmal.com/2009/06/correos-falseados-en-yahoocom-gmailcom.html) está configurado como un SoftFail (~s) y no como un HardFail (-s).
http://2.bp.blogspot.com/-CR3dk6X-G2A/VA39q8KuIkI/AAAAAAAAW90/41i93eZFkYA/s1600/Spf_apple.png (http://2.bp.blogspot.com/-CR3dk6X-G2A/VA39q8KuIkI/AAAAAAAAW90/41i93eZFkYA/s1600/Spf_apple.png)
Figura 2: Configuración de registro SPF de apple.com
Esto quiere decir que el servidor de correo que recibe un correo del dominio apple.com que no venga de una dirección IP 17.0.0.X debería subir el scoring de posible spam, pero no darlo por malo. En el caso de que hubiera un HardFail (-s) se supone que apple.com le estaría diciendo al servidor de correo electrónico que recibe este correo que lo tire, que es falso.
Nuestra víctima de ejemplo tiene un correo electrónico creado para la ocasión de Gmail, y Google no es especialmente amigo de tirar los correos electrónicos que el registro SPF marque como SoftFail, así que, como veremos, el correo entrará en el buzón de entrada de la victim.
Fase 2: Spam y Phishing para robar la contraseña
Para hacer el ataque, en Eleven Paths (https://www.elevenpaths.com/) creamos un pequeño panel de control que envía el "spam" - aunque sólo sea un correo a un destinatario - con un mensaje desde el equipo de Gmail o Apple que urge a las víctimas a ir a un servidor web a revisar su configuración.
http://3.bp.blogspot.com/-vWZuXtIeUeo/VA4pbD4wfNI/AAAAAAAAW-k/dgUL3BeTdrk/s1600/spam_phishing_1.png (http://3.bp.blogspot.com/-vWZuXtIeUeo/VA4pbD4wfNI/AAAAAAAAW-k/dgUL3BeTdrk/s1600/spam_phishing_1.png)
Figura 3: Panel de control web para enviar spam de phishing y capturar las claves
Por supuesto, en ese servidor web lo que hay son dos páginas de Phishing que roban el usuario y la contraseña de las víctimas y re-dirigen después a las páginas originales. Un viejo truco del mundo del fraude online (http://0xword.com/es/libros/21-libro-fraude-online.html). No nos hemos complicado mucho y hemos copiado el formato de los mensajes usados en campañas de verdad.
Fase 2: Alerta inútil en Gmail para iOS & Address Bar Spoofing
Cuando el mensaje de correo electrónico llega, hemos utilizado como lector Gmail para iOS. Esto es así por varios motivos. El primero de ellos es porque es el cliente oficial de Gmail para los terminales iPhone, y muchos usuarios lo utilizan y el segundo porque tiene dos debilidades dignas de resaltar.
http://3.bp.blogspot.com/-xHbiQCoSHSI/VA4pbYFSF1I/AAAAAAAAW-g/5P_E0Dlbtz0/s1600/spam_phishing_2.png (http://3.bp.blogspot.com/-xHbiQCoSHSI/VA4pbYFSF1I/AAAAAAAAW-g/5P_E0Dlbtz0/s1600/spam_phishing_2.png)
Figura 4: En Gmail entra el e-mail de apple.com com SPF SoftFail
La primera debilidad es que tiene una alerta de navegación externa bastante inútil que informa de que se va a proceder a una navegación externa, pero la URL que el usuario ve es la de un servidor de Gmail y no la del servidor web de Phishing, con lo que ayuda a tranquilizar a la víctima y que haga clic en el enlace.
http://3.bp.blogspot.com/-4JN678v8QLc/VA4pbZ0xErI/AAAAAAAAW-c/eeZ0w6LZd08/s1600/spam_phishing_3.png (http://3.bp.blogspot.com/-4JN678v8QLc/VA4pbZ0xErI/AAAAAAAAW-c/eeZ0w6LZd08/s1600/spam_phishing_3.png)
Figura 5: Alerta de external page que no informa bien y Address Bar Spoofing en la WebView
La segunda de ellas es que cuando se abre, lo hace una WebView que oculta la barra de direcciones y solo muestra el campo título de la página web, lo que ayuda a que se produzca un bug de Address Bar Spoofing de libro.
http://4.bp.blogspot.com/-xbrA2RSw4hc/VA4pb61IcTI/AAAAAAAAW-0/ZDvu-EiWCGY/s1600/spam_phishing_4.png (http://4.bp.blogspot.com/-xbrA2RSw4hc/VA4pb61IcTI/AAAAAAAAW-0/ZDvu-EiWCGY/s1600/spam_phishing_4.png)
Figura 6: La contraseña se recoge en el panel del servidor de phishing
Por supuesto, en cuanto el usuario introduce su usuario y su contraseña en la web de Phishing, nosotros la enviamos a nuestro panel y después re-dirigimos la navegación del WebView a la web original de Apple y/o Gmail.
Fase 3: Acceso a Apple iCloud sin alerta ni 2FA
Con la contraseña de la víctima, el siguiente paso es bastante trivial. Basta con conectarse a Apple iCloud y descargarse el backup. Existen librerías en Python para hacer esto, pero para transmitir a la gente que esto a día de hoy no es "rocket science" hemos usado una herramienta muy conocida que se llama ElcomSoft Phone Password Breaker (http://www.seguridadapple.com/2012/05/elcomsoft-phone-password-breaker-hackea.html), que ya tiene herramientas para monitorizar backups en Apple iCloud.
http://1.bp.blogspot.com/-QIgQyI34zGk/VA4qG47_gHI/AAAAAAAAW_c/MTJIS8VtfWk/s1600/elcom_1.png (http://1.bp.blogspot.com/-QIgQyI34zGk/VA4qG47_gHI/AAAAAAAAW_c/MTJIS8VtfWk/s1600/elcom_1.png)
Figura 7: ElcomSoft Phone Password Breaker permite descargar de iCloud
Para ello se necesita introducir el usuario y la contraseña o un token de autenticación de la cuenta y listo. No hace falta robar un segundo factor de autenticación, pues aunque el usuario tenga Verificación en Dos Pasos (http://www.seguridadapple.com/2014/03/configurar-verificacon-en-2-pasos-para.html) configurada en su cuenta de Apple ID y/o Apple iCloud, el servidor de Apple iCloud lo ignora.
http://1.bp.blogspot.com/-98K582kngEw/VA4qHOifd1I/AAAAAAAAW_I/wV-O2alMWCg/s1600/elcom_2.png (http://1.bp.blogspot.com/-98K582kngEw/VA4qHOifd1I/AAAAAAAAW_I/wV-O2alMWCg/s1600/elcom_2.png)
Figura 8: Las credenciales para descargar el backup de Apple iCloud. Elcomsoft dice que ahora puede descargar el backup sin credenciales.
Una vez conectados a su cuenta, se pueden ver todos los dispositivos que hay, el número de serie, el UDID para preparar un troyano dirigido (http://www.elladodelmal.com/2013/05/como-meter-un-troyano-en-ios-y-espiar.html) y el número de backups que hay disponibles de ese dispositivo.
http://2.bp.blogspot.com/-fwA3AybF61Y/VA4qGZCxPcI/AAAAAAAAW_E/qaBmEXJjIgc/s1600/elcom4.png (http://2.bp.blogspot.com/-fwA3AybF61Y/VA4qGZCxPcI/AAAAAAAAW_E/qaBmEXJjIgc/s1600/elcom4.png)
Figura 9: Se puede personalizar lo que se desea descargar del backup
Para no descargar todo puedes personalizar la descarga del backup, y bajarte lo que te interese. En este caso las fotografías de la víctima, pero podríamos descargar la base de datos de WhatsApp - es conocido como un método para espiar WhatsApp (http://www.elladodelmal.com/2013/07/como-espiar-whatsapp.html) -, la información de Facebook, Gmail, etcetera.
http://2.bp.blogspot.com/-gWtWbZoofJo/VA4qGbvWHAI/AAAAAAAAW-8/88YWpIzp_VM/s1600/elcom5.png (http://2.bp.blogspot.com/-gWtWbZoofJo/VA4qGbvWHAI/AAAAAAAAW-8/88YWpIzp_VM/s1600/elcom5.png)
Figura 10: Se descarga lo seleccionado con hacer clic en Download
Una vez que se han descargado, ya lo único que hay que hacer es abrir la ubicación de descarga y tendremos acceso a las fotografías de la víctima, en este caso las de la falsa cuenta de Pablo que creamos para la occasion.
Conclusiones
En este caso la password se roba con trucos muy conocidos y funcionales en el mundo del e-crime que todavía, a día de hoy, siguen funcionado. Tal vez porque los usuarios tienen que introducir demasiadas passwords en su vida y ya no se fijan dónde y cuándo lo hacen. Hay que intentar que cada vez que se inicia una sesión en un sitio se conozca, y por eso nosotros apostamos por algo como Latch (https://latch.elevenpaths.com/).
http://2.bp.blogspot.com/-1zeTvHYcKws/VA4qGji28SI/AAAAAAAAW_A/zANeo2Jysp4/s1600/elcom6.png (http://2.bp.blogspot.com/-1zeTvHYcKws/VA4qGji28SI/AAAAAAAAW_A/zANeo2Jysp4/s1600/elcom6.png)
Figura 11: El rollo de fotos descargado del backup de Apple iCloud
Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web - que ya está hecho según parece - que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (ahora se puede configurar una alerta por e-mail).
Saludos Malignos! @ http://www.elladodelmal.com/2014/09/robar-fotos-de-apple-icloud-de-un.html
Al final, tal y como yo suponía, no ha sido un bug único sino un trabajo de mucha gente durante mucho tiempo que se ha dedicado a coleccionar este tipo de fotografías, haciendo para ello ataques dirigidos a las cuentas de las famosas.
Enlace al video: http://www.antena3.com/videos-online/programas/el-hormiguero/momentos/chema-alonso-hay-que-diferenciar-hackers-cibercriminales_2014090801024.html
Figura 1: Vídeo de la demo en el programa de El Hormiguero
Entre los trucos para robar las contraseñas se ha podido encontrar el ataque por fuerza bruta a Find My iPhone (http://www.seguridadapple.com/2014/09/bug-en-icloud-es-este-el-fallo-del-leak.html), el robo mediante ataques man in the middle, el shoulder surfing o cualquier otro medio de ataque, pero seguro que muchos han optado por el ataque mucho más sencillo de Phishing dirigido. Esto en iOS, como se cuenta en el libro de Hacking iPhone (http://0xword.com/es/libros/39-libro-hacking-dispositivos-ios-iphone-ipad.html), es muy sencillo debido a las WebViews (http://www.seguridadapple.com/2013/10/phishing-client-side-attacks-ios-sigue.html) y la política de Apple contra el spoofing de correo electrónico y su aplicación. Vamos a ver la demo paso por paso para que se entienda mejor.
Fase 1: Spoofing, SPF y la política de Gmail
Para hacer este ataque dirigido, el esquema que se va a utilizar es de lo más sencillo del mundo. Vamos a enviar un correo electrónico a la víctima haciéndola creer que viene de [email protected]. Para hacer esto nos vamos a aprovechar de que el filtro anti-spoofing de correo electrónico del dominio apple.com definido en el registro SPF (Sender Policy Framework) (http://www.elladodelmal.com/2009/06/correos-falseados-en-yahoocom-gmailcom.html) está configurado como un SoftFail (~s) y no como un HardFail (-s).
http://2.bp.blogspot.com/-CR3dk6X-G2A/VA39q8KuIkI/AAAAAAAAW90/41i93eZFkYA/s1600/Spf_apple.png (http://2.bp.blogspot.com/-CR3dk6X-G2A/VA39q8KuIkI/AAAAAAAAW90/41i93eZFkYA/s1600/Spf_apple.png)
Figura 2: Configuración de registro SPF de apple.com
Esto quiere decir que el servidor de correo que recibe un correo del dominio apple.com que no venga de una dirección IP 17.0.0.X debería subir el scoring de posible spam, pero no darlo por malo. En el caso de que hubiera un HardFail (-s) se supone que apple.com le estaría diciendo al servidor de correo electrónico que recibe este correo que lo tire, que es falso.
Nuestra víctima de ejemplo tiene un correo electrónico creado para la ocasión de Gmail, y Google no es especialmente amigo de tirar los correos electrónicos que el registro SPF marque como SoftFail, así que, como veremos, el correo entrará en el buzón de entrada de la victim.
Fase 2: Spam y Phishing para robar la contraseña
Para hacer el ataque, en Eleven Paths (https://www.elevenpaths.com/) creamos un pequeño panel de control que envía el "spam" - aunque sólo sea un correo a un destinatario - con un mensaje desde el equipo de Gmail o Apple que urge a las víctimas a ir a un servidor web a revisar su configuración.
http://3.bp.blogspot.com/-vWZuXtIeUeo/VA4pbD4wfNI/AAAAAAAAW-k/dgUL3BeTdrk/s1600/spam_phishing_1.png (http://3.bp.blogspot.com/-vWZuXtIeUeo/VA4pbD4wfNI/AAAAAAAAW-k/dgUL3BeTdrk/s1600/spam_phishing_1.png)
Figura 3: Panel de control web para enviar spam de phishing y capturar las claves
Por supuesto, en ese servidor web lo que hay son dos páginas de Phishing que roban el usuario y la contraseña de las víctimas y re-dirigen después a las páginas originales. Un viejo truco del mundo del fraude online (http://0xword.com/es/libros/21-libro-fraude-online.html). No nos hemos complicado mucho y hemos copiado el formato de los mensajes usados en campañas de verdad.
Fase 2: Alerta inútil en Gmail para iOS & Address Bar Spoofing
Cuando el mensaje de correo electrónico llega, hemos utilizado como lector Gmail para iOS. Esto es así por varios motivos. El primero de ellos es porque es el cliente oficial de Gmail para los terminales iPhone, y muchos usuarios lo utilizan y el segundo porque tiene dos debilidades dignas de resaltar.
http://3.bp.blogspot.com/-xHbiQCoSHSI/VA4pbYFSF1I/AAAAAAAAW-g/5P_E0Dlbtz0/s1600/spam_phishing_2.png (http://3.bp.blogspot.com/-xHbiQCoSHSI/VA4pbYFSF1I/AAAAAAAAW-g/5P_E0Dlbtz0/s1600/spam_phishing_2.png)
Figura 4: En Gmail entra el e-mail de apple.com com SPF SoftFail
La primera debilidad es que tiene una alerta de navegación externa bastante inútil que informa de que se va a proceder a una navegación externa, pero la URL que el usuario ve es la de un servidor de Gmail y no la del servidor web de Phishing, con lo que ayuda a tranquilizar a la víctima y que haga clic en el enlace.
http://3.bp.blogspot.com/-4JN678v8QLc/VA4pbZ0xErI/AAAAAAAAW-c/eeZ0w6LZd08/s1600/spam_phishing_3.png (http://3.bp.blogspot.com/-4JN678v8QLc/VA4pbZ0xErI/AAAAAAAAW-c/eeZ0w6LZd08/s1600/spam_phishing_3.png)
Figura 5: Alerta de external page que no informa bien y Address Bar Spoofing en la WebView
La segunda de ellas es que cuando se abre, lo hace una WebView que oculta la barra de direcciones y solo muestra el campo título de la página web, lo que ayuda a que se produzca un bug de Address Bar Spoofing de libro.
http://4.bp.blogspot.com/-xbrA2RSw4hc/VA4pb61IcTI/AAAAAAAAW-0/ZDvu-EiWCGY/s1600/spam_phishing_4.png (http://4.bp.blogspot.com/-xbrA2RSw4hc/VA4pb61IcTI/AAAAAAAAW-0/ZDvu-EiWCGY/s1600/spam_phishing_4.png)
Figura 6: La contraseña se recoge en el panel del servidor de phishing
Por supuesto, en cuanto el usuario introduce su usuario y su contraseña en la web de Phishing, nosotros la enviamos a nuestro panel y después re-dirigimos la navegación del WebView a la web original de Apple y/o Gmail.
Fase 3: Acceso a Apple iCloud sin alerta ni 2FA
Con la contraseña de la víctima, el siguiente paso es bastante trivial. Basta con conectarse a Apple iCloud y descargarse el backup. Existen librerías en Python para hacer esto, pero para transmitir a la gente que esto a día de hoy no es "rocket science" hemos usado una herramienta muy conocida que se llama ElcomSoft Phone Password Breaker (http://www.seguridadapple.com/2012/05/elcomsoft-phone-password-breaker-hackea.html), que ya tiene herramientas para monitorizar backups en Apple iCloud.
http://1.bp.blogspot.com/-QIgQyI34zGk/VA4qG47_gHI/AAAAAAAAW_c/MTJIS8VtfWk/s1600/elcom_1.png (http://1.bp.blogspot.com/-QIgQyI34zGk/VA4qG47_gHI/AAAAAAAAW_c/MTJIS8VtfWk/s1600/elcom_1.png)
Figura 7: ElcomSoft Phone Password Breaker permite descargar de iCloud
Para ello se necesita introducir el usuario y la contraseña o un token de autenticación de la cuenta y listo. No hace falta robar un segundo factor de autenticación, pues aunque el usuario tenga Verificación en Dos Pasos (http://www.seguridadapple.com/2014/03/configurar-verificacon-en-2-pasos-para.html) configurada en su cuenta de Apple ID y/o Apple iCloud, el servidor de Apple iCloud lo ignora.
http://1.bp.blogspot.com/-98K582kngEw/VA4qHOifd1I/AAAAAAAAW_I/wV-O2alMWCg/s1600/elcom_2.png (http://1.bp.blogspot.com/-98K582kngEw/VA4qHOifd1I/AAAAAAAAW_I/wV-O2alMWCg/s1600/elcom_2.png)
Figura 8: Las credenciales para descargar el backup de Apple iCloud. Elcomsoft dice que ahora puede descargar el backup sin credenciales.
Una vez conectados a su cuenta, se pueden ver todos los dispositivos que hay, el número de serie, el UDID para preparar un troyano dirigido (http://www.elladodelmal.com/2013/05/como-meter-un-troyano-en-ios-y-espiar.html) y el número de backups que hay disponibles de ese dispositivo.
http://2.bp.blogspot.com/-fwA3AybF61Y/VA4qGZCxPcI/AAAAAAAAW_E/qaBmEXJjIgc/s1600/elcom4.png (http://2.bp.blogspot.com/-fwA3AybF61Y/VA4qGZCxPcI/AAAAAAAAW_E/qaBmEXJjIgc/s1600/elcom4.png)
Figura 9: Se puede personalizar lo que se desea descargar del backup
Para no descargar todo puedes personalizar la descarga del backup, y bajarte lo que te interese. En este caso las fotografías de la víctima, pero podríamos descargar la base de datos de WhatsApp - es conocido como un método para espiar WhatsApp (http://www.elladodelmal.com/2013/07/como-espiar-whatsapp.html) -, la información de Facebook, Gmail, etcetera.
http://2.bp.blogspot.com/-gWtWbZoofJo/VA4qGbvWHAI/AAAAAAAAW-8/88YWpIzp_VM/s1600/elcom5.png (http://2.bp.blogspot.com/-gWtWbZoofJo/VA4qGbvWHAI/AAAAAAAAW-8/88YWpIzp_VM/s1600/elcom5.png)
Figura 10: Se descarga lo seleccionado con hacer clic en Download
Una vez que se han descargado, ya lo único que hay que hacer es abrir la ubicación de descarga y tendremos acceso a las fotografías de la víctima, en este caso las de la falsa cuenta de Pablo que creamos para la occasion.
Conclusiones
En este caso la password se roba con trucos muy conocidos y funcionales en el mundo del e-crime que todavía, a día de hoy, siguen funcionado. Tal vez porque los usuarios tienen que introducir demasiadas passwords en su vida y ya no se fijan dónde y cuándo lo hacen. Hay que intentar que cada vez que se inicia una sesión en un sitio se conozca, y por eso nosotros apostamos por algo como Latch (https://latch.elevenpaths.com/).
http://2.bp.blogspot.com/-1zeTvHYcKws/VA4qGji28SI/AAAAAAAAW_A/zANeo2Jysp4/s1600/elcom6.png (http://2.bp.blogspot.com/-1zeTvHYcKws/VA4qGji28SI/AAAAAAAAW_A/zANeo2Jysp4/s1600/elcom6.png)
Figura 11: El rollo de fotos descargado del backup de Apple iCloud
Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web - que ya está hecho según parece - que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (ahora se puede configurar una alerta por e-mail).
Saludos Malignos! @ http://www.elladodelmal.com/2014/09/robar-fotos-de-apple-icloud-de-un.html