Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/02/2011
Un nou atac revela les contrasenyes dels iPhones en minuts
Investigadors alemanys asseguren haver descobert una forma d'atac, que revela les contrasenyes emmagatzemades en iPhones en tan sols sis minuts, sense necessitat disposar del codi d'accés als dispositius.
L'atac, que exigeix la possessió de l'iPhone, es dirigeix contra el sistema de gestió de contrasenyes d'Apple i es basa en exploits existents que proporcionen accés a grans parts del sistema d'arxius d'iOS. Amb el qual pot passar que el telèfon intel·ligent (smartphone) revele contrasenyes d'accés a xarxes i sistemes d'informació corporatius, en casos de robatori o pèrdua del dispositiu.
Els investigadors que l’han desenrotllat van desbloquejar primer l'iPhone, utilitzant eines disponibles de jailbreaking. Després van instal·lar un servidor SSH, sobre el telèfon intel·ligent (smartphone), que permetia ejecutar programari sobre ell.
Tot seguit van copiar un script d'accés a la gestió de contrasenyes de l'iPhone, que utilitza funcions de sistemes que ja existeixen en el dispositiu per a accedir a les entrades del sistema i, finalment, revela als atacants els detalls dels comptes que descobreix.
L'atac funciona perquè la clau criptogràfica dels actuals dispositius –basats en el sistema operatiu iOS– està basada en material disponible dins del dispositiu i és independent del codi d'accés al mateix, segons els investigadors que l’han descobert.
No obstant això, les contrasenyes que revela i desencripta es limiten a les del sistema de gestió de contrasenyes d'Apple “keychain”, quedant fora de perill les protegides per altres sistemes. Entre les vulnerables s'inclouen les de comptes en Google Mail o MS Exchange, LDAP i correu de veu, així com les d'accés a VPN i WiFi.