Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/03/2014
Intrusión en los servidores de Cerberus Anti-robo (Android)
Uno de los peores correos que puedes recibir en la actualidad es en el que se te anuncia que uno de los servicios en los que estás registrado ha sido comprometido, y que tus credenciales se encuentran dentro de un listado de "hashes pendientes de crackear" de algún grupo de graciosillos de cualquier lugar del mundo.
Aún más crítico es si al servicio en cuestión le has delegado una parte de la seguridad de tu dispositivo Android, en la que ibas a confiar para localizarlo en caso de pérdida (al más puro estilo Find My iPhone de iOS).
Cerberus anti-robo es una aplicación de Android que permite localizar un dispositivo registrado en caso de que lo pierdas o te lo roben. La versión gratuita de prueba permite un registro de una semana, y por 3 euros aproximadamente se podría obtener la licencia de por vida. Luis Delgado habló ya de vulnerabilidades en esta aplicación en su serie de posts sobre la actualidad del malware en Android.
Para posteriormente localizar tu dispositivo móvil y gestionarlo, es necesario utilizar un servicio centralizado en los servidores de Cerberus para acceder al panel de control personal.
El equipo de seguridad de Cerberus ha enviado un aviso de seguridad a todos los usuarios (que podréis consultar también en el Google+ de Cerberus) anunciando que unos intrusos, tras comprometer servidores de la red externa, han accedido a más de 90000 cuentas de usuarios, incluyendo los hashes SHA-1 de las contraseñas, y que automáticamente han procedido a la reinicialización de las contraseñas de todos los usuarios afectados. Dichas credenciales se encontraban en un fichero de log, el cual fue rápidamente eliminado. No se accedió a la base de datos, las credenciales en ellas, según cuentan, tienen salt y varias iteraciones de cifrado, y comentan que pronto migrarán a bcrypt. Cuidado con los logs que almacenáis en vuestras aplicaciones, aunque sean temporales, pueden contener información que pudiera ser accesible por terceros.
Lo más curioso es que se ha detectado el acceso por parte de usuarios ajenos a 3 de las cuentas obtenidas.
¿Se tratará de un ataque dirigido, para obtener la localización de un conjunto de dispositivos concretos sobre los que se tenía constancia que estaban utilizando esta aplicación anti-robo? ¿O quizás al obtener todo el listado de usuarios, justamente esas 3 cuentas las identificaron como interesantes?
Nunca lo sabremos.