Resultados 1 al 2 de 2

Tema: Robar fotos de Apple iCloud de un usuario de iPhone (El Hormiguero)

  1. #1 Robar fotos de Apple iCloud de un usuario de iPhone (El Hormiguero) 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    Ayer nuestro amigo Chema Alonso estuvo en el programa de televisión "El Hormiguero" explicando cómo se pueden robar las fotos de un usuario de Apple iCloud que tenga un iPhone para que la gente pueda entender entender de qué forma se ha podido realizar algún robo de fotos del Celebgate, para robar las fotos desnudas de las famosas.

    Al final, tal y como yo suponía, no ha sido un bug único sino un trabajo de mucha gente durante mucho tiempo que se ha dedicado a coleccionar este tipo de fotografías, haciendo para ello ataques dirigidos a las cuentas de las famosas.

    Enlace al video: http://www.antena3.com/videos-online...090801024.html
    Figura 1: Vídeo de la demo en el programa de El Hormiguero

    Entre los trucos para robar las contraseñas se ha podido encontrar el ataque por fuerza bruta a Find My iPhone, el robo mediante ataques man in the middle, el shoulder surfing o cualquier otro medio de ataque, pero seguro que muchos han optado por el ataque mucho más sencillo de Phishing dirigido. Esto en iOS, como se cuenta en el libro de Hacking iPhone, es muy sencillo debido a las WebViews y la política de Apple contra el spoofing de correo electrónico y su aplicación. Vamos a ver la demo paso por paso para que se entienda mejor.


    Fase 1: Spoofing, SPF y la política de Gmail

    Para hacer este ataque dirigido, el esquema que se va a utilizar es de lo más sencillo del mundo. Vamos a enviar un correo electrónico a la víctima haciéndola creer que viene de apple@apple.com. Para hacer esto nos vamos a aprovechar de que el filtro anti-spoofing de correo electrónico del dominio apple.com definido en el registro SPF (Sender Policy Framework) está configurado como un SoftFail (~s) y no como un HardFail (-s).


    Figura 2: Configuración de registro SPF de apple.com


    Esto quiere decir que el servidor de correo que recibe un correo del dominio apple.com que no venga de una dirección IP 17.0.0.X debería subir el scoring de posible spam, pero no darlo por malo. En el caso de que hubiera un HardFail (-s) se supone que apple.com le estaría diciendo al servidor de correo electrónico que recibe este correo que lo tire, que es falso.

    Nuestra víctima de ejemplo tiene un correo electrónico creado para la ocasión de Gmail, y Google no es especialmente amigo de tirar los correos electrónicos que el registro SPF marque como SoftFail, así que, como veremos, el correo entrará en el buzón de entrada de la victim.


    Fase 2: Spam y Phishing para robar la contraseña

    Para hacer el ataque, en Eleven Paths creamos un pequeño panel de control que envía el "spam" - aunque sólo sea un correo a un destinatario - con un mensaje desde el equipo de Gmail o Apple que urge a las víctimas a ir a un servidor web a revisar su configuración.

    Figura 3: Panel de control web para enviar spam de phishing y capturar las claves

    Por supuesto, en ese servidor web lo que hay son dos páginas de Phishing que roban el usuario y la contraseña de las víctimas y re-dirigen después a las páginas originales. Un viejo truco del mundo del fraude online. No nos hemos complicado mucho y hemos copiado el formato de los mensajes usados en campañas de verdad.


    Fase 2: Alerta inútil en Gmail para iOS & Address Bar Spoofing

    Cuando el mensaje de correo electrónico llega, hemos utilizado como lector Gmail para iOS. Esto es así por varios motivos. El primero de ellos es porque es el cliente oficial de Gmail para los terminales iPhone, y muchos usuarios lo utilizan y el segundo porque tiene dos debilidades dignas de resaltar.



    Figura 4: En Gmail entra el e-mail de apple.com com SPF SoftFail

    La primera debilidad es que tiene una alerta de navegación externa bastante inútil que informa de que se va a proceder a una navegación externa, pero la URL que el usuario ve es la de un servidor de Gmail y no la del servidor web de Phishing, con lo que ayuda a tranquilizar a la víctima y que haga clic en el enlace.

    Figura 5: Alerta de external page que no informa bien y Address Bar Spoofing en la WebView

    La segunda de ellas es que cuando se abre, lo hace una WebView que oculta la barra de direcciones y solo muestra el campo título de la página web, lo que ayuda a que se produzca un bug de Address Bar Spoofing de libro.

    Figura 6: La contraseña se recoge en el panel del servidor de phishing


    Por supuesto, en cuanto el usuario introduce su usuario y su contraseña en la web de Phishing, nosotros la enviamos a nuestro panel y después re-dirigimos la navegación del WebView a la web original de Apple y/o Gmail.


    Fase 3: Acceso a Apple iCloud sin alerta ni 2FA

    Con la contraseña de la víctima, el siguiente paso es bastante trivial. Basta con conectarse a Apple iCloud y descargarse el backup. Existen librerías en Python para hacer esto, pero para transmitir a la gente que esto a día de hoy no es "rocket science" hemos usado una herramienta muy conocida que se llama ElcomSoft Phone Password Breaker, que ya tiene herramientas para monitorizar backups en Apple iCloud.


    Figura 7: ElcomSoft Phone Password Breaker permite descargar de iCloud


    Para ello se necesita introducir el usuario y la contraseña o un token de autenticación de la cuenta y listo. No hace falta robar un segundo factor de autenticación, pues aunque el usuario tenga Verificación en Dos Pasos configurada en su cuenta de Apple ID y/o Apple iCloud, el servidor de Apple iCloud lo ignora.
    Figura 8: Las credenciales para descargar el backup de Apple iCloud. Elcomsoft dice que ahora puede descargar el backup sin credenciales.


    Una vez conectados a su cuenta, se pueden ver todos los dispositivos que hay, el número de serie, el UDID para preparar un troyano dirigido y el número de backups que hay disponibles de ese dispositivo.


    Figura 9: Se puede personalizar lo que se desea descargar del backup

    Para no descargar todo puedes personalizar la descarga del backup, y bajarte lo que te interese. En este caso las fotografías de la víctima, pero podríamos descargar la base de datos de WhatsApp - es conocido como un método para espiar WhatsApp -, la información de Facebook, Gmail, etcetera.

    Figura 10: Se descarga lo seleccionado con hacer clic en Download

    Una vez que se han descargado, ya lo único que hay que hacer es abrir la ubicación de descarga y tendremos acceso a las fotografías de la víctima, en este caso las de la falsa cuenta de Pablo que creamos para la occasion.


    Conclusiones

    En este caso la password se roba con trucos muy conocidos y funcionales en el mundo del e-crime que todavía, a día de hoy, siguen funcionado. Tal vez porque los usuarios tienen que introducir demasiadas passwords en su vida y ya no se fijan dónde y cuándo lo hacen. Hay que intentar que cada vez que se inicia una sesión en un sitio se conozca, y por eso nosotros apostamos por algo como Latch.

    Figura 11: El rollo de fotos descargado del backup de Apple iCloud

    Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web - que ya está hecho según parece - que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (ahora se puede configurar una alerta por e-mail).




    Saludos Malignos! @ http://www.elladodelmal.com/2014/09/...oud-de-un.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Sep 2014
    Ubicación
    Mexico
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    Que bueno que yo no tengo Apple iCloud. Pero igual despues de leer la informacion asi no hay confianza a las tecnologias cloud
    Citar  
     

Temas similares

  1. Respuestas: 1
    Último mensaje: 06-05-2014, 17:06
  2. Respuestas: 0
    Último mensaje: 11-04-2011, 11:51
  3. ¿Como ver fotos privadas de iPhone?
    Por NickBlack en el foro TELEFONÍA MOVIL
    Respuestas: 9
    Último mensaje: 23-10-2010, 01:41
  4. sony ericsson c905 ó apple iphone???
    Por DeKsToR en el foro TELEFONIA
    Respuestas: 4
    Último mensaje: 18-08-2009, 06:54
  5. Apple vende un millón de iPhone 3G el primer fin de semana
    Por gondar_f en el foro LINUX - MAC - OTROS
    Respuestas: 0
    Último mensaje: 21-07-2008, 22:54

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •