Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

07/08/2013

Ejecución de código en iPhone a través de USB y Apps maliciosas

Una nueva edición del certamen de seguridad informática por excelencia ha terminado estos días, y del nutrido grupo de presentaciones, una de las que ha tenido bastante eco en los medios ha sido la demostración pública de una vulnerabilidad que permitiría la ejecución de código en terminales iPhone a través de USB, que afectaría a todas sus versiones, incluida iOS 7 (aunque sólo hasta la beta 2). También se anunció una segunda vulnerabilidad con impacto similar a través de aplicaciones que eluden la sandbox de iOS.

MACTANS: una vulnerabilidad en los perfiles USB de iOS

Como se puede leer en el documento oficial publicado y comprobar en el video de la entrevista realizada por la CBS, los investigadores Billy Lau, Yeongjin Jang, Chengyu Song, Tielei Wang y Pak Ho Chung del grupo universitaro de la Georgia Tech Information Security Center (GTISC) han demostrado un método efectivo y automático para ejecutar código e instalar aplicaciones maliciosas de manera invisible en el terminal utilizando conexiones USB, en su caso un 'cargador' manipulado.

Este método o vector de ataque, que ya hicieron público el pasado junio, denominado MACTAN, se basa en las siguientes premisas:

• No es un "jailbreak", no es necesario que al iPhone se le haya efectuado un "jailbreak" y disponga de una cuenta de root.
• Es automático, sólo es necesario conectar el dispositivo y se procede con el ataque, siempre y cuando se encuentre desbloqueado o sin código de bloqueo.
• Es totalmente transparente para el usuario.
• Posee un nivel de acceso al dispositivo mucho mayor que ataques anteriores.

Leer noticia completa en Hispasec.

CSIRT-CV