El científico
forense Jonathan Zdziarski (aka "NerveGas") ha publicado las
diapositivas de su charla "Identifying Backdoors, Attack Points, and Surveillance Mechanisms in iOS Devices" [PDF] presentada en la conferencia
Hackers On Planet Earth (HOPE).
En esta charla muestra la evidencia de que 600 million de dispositivos
de Apple podrían estar siendo vigilados a través de aplicaciones no
documentadas por la compañia.
Zdziarski ha trabajado como miembro del
dev-team de muchos iOS
jailbreaking recientes y es
autor de cinco libros de O'Reilly, relacionados al hacking y seguridad de aplicaciones iOS.
En diciembre de 2013, el investigador de seguridad
Jacob Appelbaum descubrió un programa de la NSA denominado
DROPOUTJEEP que presuntamente daba control total al iPhone. El documento filtrado, con fecha de 2008, señaló que
"se requiere instalar un malware mediante métodos de acceso cercano"
(presumiblemente acceso físico para el iPhone) pero señalaba que se
estaba trabajando en una capacidad de instalación remota en una versión
futura.
En su charla,
Zdziarski demuestra "un
número de servicios indocumentados en todos los dispositivos iOS y de
diseño sospechoso que facilitarían la recolección de información
forense". También ofrece ejemplos de artefactos forenses que nunca deberían estar en un dispositivo sin consentimiento del usuario.
Según una diapositiva el iPhone es "razonablemente seguro" para un
atacante típico y el iPhone iOS 7 y 5 son los más seguros de todo
excepto para Apple y el gobierno. Señala que
"Apple ha trabajado duro para asegurar que se pueda acceder a los datos del dispositivos, en nombre de la ley".
La presentación señala que las herramientas forenses comerciales como
Cellebrite,
AccessData, y
Elcomsoft
realizan una extracción profunda de datos utilizando estos servicios de
"puerta trasera". Con los servicios indocumentados expuestos por
Zdziarski (como
"lockdownd", "pcapd" y "mobile.file_relay") se
puede saltear copias de seguridad cifradas y acceder a través de USB,
wifi y "tal vez por celular". Lo más sospechoso sobre estos servicios (y
los datos que recogen) es que no están referenciados en ningún software
de Apple, es poco probable que sea para depuración y se almacenadasen
en formato RAW.
Existen dos soluciones de seguridad: a) establecer una contraseña compleja y b) instalar la aplicación
Apple Configurator
de Mac App Store, configurar restricciones Mobile Device Management
(MDM) y eliminar todos los registros de sincronización (aka
pair locking).
Zdziarski señala que mientras el par de bloqueo puede eliminar las
herramientas forenses comerciales, no ayudará si el dispositivo es
enviado a Apple.
Cristian de la Redacción de Segu-Info
