Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/03/2014
Intrusió en els servidors de Cerberus Anti-robatori (Android)
Un dels pitjors correus que pots rebre en l’actualitat és el que t’anuncia que un dels servicis en què estàs registrat ha sigut atacat, i que les teues credencials es troben dins d’un llistat de "hashes pendents de piratejar" d’algun grup de graciosets de qualsevol lloc del món.
Encara més crític és si al servici en qüestió li has delegat una part de la seguretat del teu dispositiu Android, en la qual confiaves per a localitzar-lo en cas de pèrdua (al més pur estil Find My iPhone d'iOS).
Cerberus anti-robo es una aplicació d’Android que permet localitzar un dispositiu registrat en el cas que el perdes o te'l furten. La versió gratuïta de prova permet un registre d’una setmana, i per 3 euros aproximadament es podria obtindre la llicència per a tota la vida. Luis Delgado va parlar ja de vulnerabilitats en esta aplicació en la seua sèrie d'apunts sobre l’actualitat del programari maliciós en Android.
Per a localitzar el teu dispositiu mòbil i gestionar-lo, és necessari utilitzar un servici centralitzat en els servidors de Cerberus per a accedir al panell de control personal.
L’equip de seguretat de Cerberus ha enviat un avís de seguretat a tots els usuaris (que podeu consultar també en el Google+ de Cerberus) en què anuncia que uns intrusos, després d'atacar servidors de la xarxa externa, han accedit a més de 90.000 comptes d’usuaris, inclosos els hashes SHA-1 de les contrasenyes, i que automàticament han procedit a la reinicialització de les contrasenyes de tots els usuaris afectats. Estes credencials es trobaven en un fitxer de registre, el qual va ser ràpidament eliminat. No es va accedir a la base de dades, i les credencials que hi ha, segons compten, tenen sal i diverses iteracions de xifratge, i comenten que prompte migraran a bcrypt. Atenció amb els logs que emmagatzemeu en les vostres aplicacions, encara que siguen temporals, poden contindre informació que podria ser accessible per tercers.
El més curiós és que s’ha detectat l’accés per part d’usuaris aliens a 3 dels comptes obtinguts.
Es tractarà d’un atac dirigit, per a obtindre la localització d’un conjunt de dispositius concrets sobre els quals es tenia constància que estaven utilitzant esta aplicació antirobatòria? O potser a l’obtindre tot el llistat d’usuaris, justament eixos 3 comptes els van identificar com a interessants?
Mai no ho sabrem.