11-08-2009

Un año más se ha celebrado la conferencia Black Hat en Las Vegas, donde se reúnen ejecutivos, investigadores y algunos hackers, para estudiar los últimos fallos de seguridad y buscarles solución.

Un fallo para el iPhone

Entre el 25 y el 30 de julio se ha celebrado en Las Vegas la conferencia de seguridad Black Hat, donde se han tratado las amenazas de seguridad más avanzadas junto con los fallos no descubiertos más peligrosos. Muchas han sido las ponencias que, ante cerca de 4.000 asistentes presentaron un panorama en el que parece que, de momento, van ganando los malos.

Quizá uno de los temas que más ha llamado la atención de toda la prensa ha sido el referido al fallo en el iPhone, popular hasta en estos menesteres. El experto en seguridad Charlie Miller reveló durante la conferencia que Apple estaba trabajando en un parche para un fallo de seguridad del iPhone relacionado con la implementación SMS y que podría llevar a la ejecución de código arbitrario.

El iPhone puede ejecutar datos de un SMS como si fuera un código en lugar de un simple mensaje de texto si lo hace con privilegios y sin la intervención del usuario. El último término esto podría llevar a desactivar la comprobación de firmas de códigos ya incorporados en el sistema operativo del iPhone para cargar otras librerías y, finalmente, llevar a un atacante a tomar el control del dispositivo, incluido el acceso a cualquier dato almacenado en él.

SMS, un peligro para los móviles

El fallo en la implementación del SMS en el iPhone no es la única vulnerabilidad en la que los mensajes de texto están involucrados.

Durante el Black Hat se hizo una demostración de cómo un atacante podría suplantar un mensaje SMS que parece que ha enviado una operadora o alguna otra fuente de confianza. Este ataque basado en mensajes MMS, o multimedia, permitiría a un atacante engañar a los visitantes de una página web. Y es que, al pensar que procede de la operadora, se le podría tentar con una recarga o descuento de 20 euros para el que usuario accediera a una página web infectada.

Este tipo de ataques funciona en cualquier tipo de teléfonos que pueden enviar y recibir MMS y que funcionen sobre redes GSM. Durante la demostración se utilizó un iPhone modificado desde el que se pudo sortear la protección de la operadora para las comunicaciones SMS enviando mensajes MMS especiales. Las operadoras utilizan las comunicaciones SMS se utilizan para contactar con los usuarios y por eso son de confianza

En otras demostraciones los atacantes pudieron superar otras protecciones, como los filtros antimalware para detectar, entre otras cosas qué versión y sistema operativo está utilizando el usuario para lanzar un ataque dedicado. Curiosamente durante el Black Hat se presentó una herramienta denominada TAFT (There's an Attack For That) que automatiza la implementación de fallos que ya han sido resueltos.

Leer noticia completa en ITEspresso.

Fuente:  ITEspresso http://www.itespresso.es/