Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/08/2013
Execució de codi en iPhone a través d'USB i Apps malicioses
Una nova edició del certamen de seguretat informàtica per excel·lència ha acabat estos dies, i del nombrós grup de presentacions, una de les que ha tingut més ressò en els mitjans ha sigut la demostració pública d’una vulnerabilitat que permetria l’execució de codi en terminals iPhone a través d’USB, que afectaria totes les seues versions, inclosa iOS 7 (encara que només fins a la beta 2). També es va anunciar una segona vulnerabilitat amb impacte semblant a través d’aplicacions que eludixen la sandbox d’iOS.
MACTANS: una vulnerabilitat en els perfils USB d’iOS
Com es pot llegir en el document oficial publicat i comprovar en el vídeo de l’entrevista realitzada per la CBS, els investigadors Billy Lau, Yeongjin Jang, Chengyu Song, Tielei Wang i Pak Ho Chung del grup universitari de la Geòrgia Tech Information Security Center (GTISC) han demostrat un mètode efectiu i automàtic per a executar codi i instal·lar aplicacions malicioses de manera invisible en el terminal utilitzant connexions USB, si és el cas un 'carregador' manipulat.
Este mètode o vector d’atac, que ja van fer públic el passat juny, denominat MACTAN, es basa en les premisses següents:
- No és un jailbreak, no cal que a l’iPhone se li haja efectuat un jailbreak i dispose d’un compte de root.
- És automàtic, només cal connectar el dispositiu i s'executa l’atac, sempre que estiga desbloquejat o sense codi de bloqueig.
- És totalment transparent per a l’usuari.
- Té un nivell d’accés al dispositiu molt major que atacs anteriors.
Llegiu notícia completa en Hispasec.