Los usuarios de Iphone no deberían sentirse demasiado satisfechos con la seguridad de su teléfono: las aplicaciones de iOS son tan inseguras como las aplicaciones de Android, advirtió un investigador de seguridad e instructor universitario en la conferencia de hacking Def Con este fin de semana anterior.
Al igual que muchas aplicaciones de Android, numerosas aplicaciones de iOS transmiten las contraseñas de los consumidores en texto sin formato o lo ayudan a guardar la contraseña sin protección en el teléfono celular, explicó Sam Bowne, profesor de la Universidad Metropolitana de San Francisco. Muchos otros no logran usar el cifrado de manera adecuada, lo que hace que las aplicaciones sean vulnerables a los ataques.
“Descubrir vulnerabilidades en aplicaciones móviles es como llevar un dispositivo del tiempo a principios de los 90, cuando la gente no sabía nada sobre seguridad”, dijo Bowne.
Dicho esto, dado que Apple ha hecho que sea increíblemente difícil ver las aplicaciones iOS o el sistema operativo iOS, nadie en particular se dio cuenta de lo peligrosas que eran las aplicaciones iOS hasta hace poco.
“Hice una gran cantidad de auditorías de Android porque puede ser increíblemente simple en Android”, dijo Bowne. “Fue increíblemente desafiante en iOS hasta Checkra1n”.
El lanzamiento anterior, un equipo dirigido por uno de los antiguos alumnos de Bowne produjo el jailbreak Checkra1n, que abre el software de cualquier modelo de Iphone, desde el Iphone 4s hasta el Apple iphone X. Eso le dio a Bowne la oportunidad de probar las aplicaciones de iOS.
“Descubrí que es real lo que había escuchado: que las aplicaciones de iOS son tan indeseables como las aplicaciones de Android”, afirmó Bowne, incluso cuando “la [iOS] el método de ejecución es una pequeña caja de seguridad adicional, y el lenguaje de codificación es más difícil de aplicar mediante ingeniería inversa”.
Gran parte de la culpa recae en los desarrolladores de aplicaciones de terceros que son contratados para construir aplicaciones para otros proveedores, explicó Bowne. Pero, en última instancia, la responsabilidad recae en las empresas cuyos nombres figuran en sus solicitudes.
“Puede ser dolorosamente evidente”, mencionó Bowne, “que los puntos de referencia de la mayoría de los desarrolladores de aplicaciones son extremadamente bajos y que la administración [of the companies that use the apps] no evalúa la seguridad de las aplicaciones en las que invierten de desarrolladores externos, ni siquiera por las fallas más simples”.
Diez o 15 por ciento de las aplicaciones de Android que Bowne ha examinado cometen fallas elementales de seguridad, informó el investigador a los asistentes a Def Con.
A partir de 2015, estos proporcionaron las principales aplicaciones bancarias, de compra y venta de inventario y de planes de seguros, todas de marcas que son nombres nacionales. Ninguna de las aplicaciones tenía controles de integridad para evitar que su código fuera manipulado actualmente.
“Puedes ver el código fuente, puedes modificar el código, puedes hacer una aplicación modificada y ejecutarla, y no detectan que realmente está modificada y no debes detectar que puede ser una aplicación no autorizada cuando está se conecta al servidor”, informó Bowne.
Los delincuentes podrían usar estos defectos para crear versiones modificadas de las aplicaciones de Android. Si un ladrón lo consiguiera para configurar una de las aplicaciones corruptas, el delincuente lograría acceder a su cuenta antes de que iniciara sesión.
Ciertamente hay una lista de estas aplicaciones bancarias, de inversión de inventario y de cobertura de seguros susceptibles en el sitio de Bowne. No los nombramos en este artículo simplemente porque es muy probable que algunos se hayan solucionado dado que Bowne encontró las fallas en 2015.
“Muchas aplicaciones recuerdan quién eres al almacenar tu contraseña localmente en el teléfono”, dijo Bowne, que calificó de “increíblemente extraño”. Es un atajo que produce amenazas innecesarias.
Bowne nombró más de una docena de aplicaciones de Android de conocidas cadenas minoristas de restaurantes, supermercados, farmacias, promociones inmobiliarias y suministros para entornos de oficina que, a partir de 2017, guardaban las contraseñas de los usuarios localmente, ya sea en texto sin formato o con cifrado no deseado que fácilmente podría ser agrietado.
Ahora, la terrible información para los clientes de Apple iPhone. Uno pensaría que las aplicaciones de iOS serían más seguras, porque el sistema operativo móvil general de Apple es más difícil de penetrar. Pero esa no es la situación, mencionó Bowne.
“Nunca me di cuenta de lo malo que era en iOS” hasta que finalmente el Jailbreak de Checkra1n, creado por el antiguo estudioso de Bowne, AxiomX, dijo: “Definitivamente no podía buscar dentro del sistema de archivos”.
“Por él y el equipo que se unió a él para hacer el exploit Checkra1n, ahora podemos entrar en el proceso de los iPhones actuales”, dijo Bowne. “Y eso fue placentero”.
Las aplicaciones de iOS tienen los mismos desafíos
Durante diciembre de 2019 y enero de 2020, Bowne dijo: “Revisé un par de cientos de aplicaciones de iPhone de Apple y encontré todos los mismos problemas con las aplicaciones de Iphone”.
Por ejemplo, la aplicación iOS Blue Cross Blue Protect of Massachusetts guardó contraseñas en el teléfono celular sin encriptar.
La aplicación iOS de Blue Shield of California rompió el cifrado de la red mundial, lo que la hizo vulnerable a los ataques de intermediarios. En 2014, Fandango y Credit history Karma fueron multados por la FTC porque sus aplicaciones para Android e iOS también lo hicieron.
Las aplicaciones iOS de los equipos de atletismo de West Stage y Air Power Academy transmitieron las contraseñas de los usuarios a Internet en texto sin formato, afirmó Bowne. La aplicación iOS de Zillow Rentals guardaba las contraseñas en texto sin formato en el teléfono celular.
Llegado para hacer comentarios, un portavoz de Zillow le dijo a Tom’s Guideline: “Estamos informados del problema informado que afecta a los compradores de iOS y nuestros grupos están trabajando para establecer una actualización para proteger a nuestros clientes. Pronto lanzaremos una actualización de seguridad que los compradores pueden descargar a través de la tienda minorista de aplicaciones”.
La mejor seguridad de aplicaciones de Apple es opcional
Bowne estaba asombrado por las contraseñas transmitidas en texto sin formato desde las aplicaciones de iOS, simplemente porque pensó que la función de seguridad de seguridad de transporte de aplicaciones (ATS) de Apple hacía que la encriptación fuera obligatoria. Pero revisó las guías para desarrolladores de Apple e identificó que las aplicaciones no tendrán que usar ATS. Otro estudio a mediados de 2019 encontró que dos tercios de las aplicaciones de iOS no usaban ATS en absoluto.
“Pensé que Apple era más seguro que eso, pero no es así”, dijo Bowne. “Y absolutamente no es así en seguimiento”.
Incluso la aplicación de iOS para estudiantes de la propia escuela de Bowne, la Universidad Metropolis de San Francisco, transmitía contraseñas de usuario con encriptación rota, explicó. Varias otras escuelas cercanas al país utilizaron exactamente el mismo desarrollador para desarrollar sus aplicaciones de iOS, con los mismos resultados.
Bowne descubrió aproximadamente una docena de aplicaciones de iOS de compañías bancarias regionales en el Medio Oeste y California, creadas por dos desarrolladores diferentes, que expusieron las contraseñas de los consumidores en un archivo de registro en el teléfono celular.
“Uno pensaría, como mínimo, que un desarrollador que está construyendo una línea completa de productos tendría alguna auditoría de protección, pero definitivamente nunca y sus clientes no deberían hacerlo”, explicó Bowne. “Así que puedes proporcionar chatarra dañada para siempre y nadie te capturará durante mucho tiempo”.
Bowne reveló todas estas vulnerabilidades de las aplicaciones de iOS a los distribuidores de aplicaciones antes de este año, y varias se instalaron, afirmó, “si es que alguna vez se solucionarán”.
¿La peor aplicación del mundo entero?
La “peor aplicación del mundo”, dijo Bowne, es casi seguro una aplicación económica india para Android llamada Fairness Pandit que calificó de “increíblemente, alucinantemente insegura” a pesar de que todavía está en uso normal.
Preferiblemente, cuando ingresa su contraseña en una aplicación, la aplicación realmente debe enviar la contraseña en forma encriptada al servidor de la aplicación, en el que debe compararse con la contraseña encriptada que el servidor tiene registrada para su nombre de usuario.
Si las contraseñas encriptadas coinciden, entonces se debe enviar un token de autorización encriptado desde el servidor a su teléfono celular para otorgarle acceso.
Esto es lo que hace la aplicación de Android Equity Pandit, según Bowne: cuando ingresa su dirección de correo electrónico seguida de una contraseña incorrecta, la aplicación Fairness Pandit envía su dirección de correo electrónico sin cifrar al servidor de Equity Pandit.
El servidor busca la contraseña adecuada para su dirección de correo electrónico y transmite la contraseña sin cifrar a la aplicación en su teléfono celular. Luego, la aplicación compara la contraseña que ingresó con la contraseña correcta que acaba de enviarse desde el servidor.
Cómo obtener la contraseña de cualquier persona
Cualquiera que entienda su identificador de correo electrónico puede usar esta falla para hacer que el servidor Equity Pandit le entregue su contraseña, que el atacante podrá ver en texto sin formato utilizando los recursos de emulación de Android fácilmente disponibles.
“Le di tarea a mis estudiantes universitarios para que simplemente robaran mi contraseña de mi cuenta en su servidor”, explicó Bowne, refiriéndose al servidor de Fairness Pandit. “Cualquier persona puede obtener la contraseña de cualquier persona en cualquier momento”.
Bowne dijo que le contó a Equity Pandit sobre este problema con su aplicación de Android hace muchos años, pero el problema aún no se ha resuelto. Procede a usar la aplicación en sus lecciones de piratería. Ni la aplicación de Android de Fairness Pandit ni su aplicación de iOS se han actualizado desde principios de 2016.
“Eso es asombroso para mí”, explicó Bowne, “que una empresa, en particular una corporación de dinero, pueda simplemente entregar todas las contraseñas de cada persona todo el tiempo y a nadie le importa y continúa”.
Casi tan negativa fue la aplicación de ex alumnos de la Universidad de Houston para Android, afirmó Bowne. Justo antes de iniciar sesión, le permitiría buscarse a sí mismo en un registro de ex alumnos.
Para hacerlo más simple, simplemente enviaría las bases de datos completas de ex alumnos de la escuela a su teléfono celular, junto con los nombres de ex alumnos, cifras de cuenta, números de tarjeta de historial de crédito, direcciones de correo electrónico y contraseñas. Eso es incluso antes de que hicieras una cuenta.
Es posible que esto se haya llevado a cabo para que el proceso de búsqueda se ejecutara más rápidamente en un teléfono móvil con un vínculo de red deficiente. Pero el resultado fue que innumerables personas seguramente estaban paseando por todas partes con la información personal privada de los demás en sus teléfonos. Esa aplicación de Android ya se ha solucionado, afirmó Bowne.
Nivel de reparación de 10 piezas
Tom’s Manual ha llegado a Fairness Pandit, la Escuela Superior Municipal de San Francisco y Blue Shield de California en busca de comentarios. Los intentos de comunicarse con Blue Cross Blue Defend de Massachusetts no tuvieron éxito. Actualizaremos esta historia cuando obtengamos respuestas.
El dilema con las fallas de las aplicaciones móviles es que, según la experiencia práctica de Bowne, posiblemente el 10% de las organizaciones a las que notifica sobre fallas en sus aplicaciones las corregirán alguna vez. Eso es mucho mejor que hace unos años, dijo Bowne, cuando el 2 por ciento de las empresas se ocupaban de las fallas y muchas otras amenazaban con demandarlo o llevarlo a prisión.
“Se está volviendo más común que al menos confiesen que es posible que puedan tener una falla de seguridad”, afirmó Bowne, “y que en teoría deberían hacer algo al respecto en lugar de simplemente capturar el mensajero.”
Las diapositivas de PowerPoint para la presentación Def Con de Bowne están en su sitio de Internet, y la película de la presentación está en YouTube, comenzando aproximadamente a los 15 minutos. Si desea aprender más sobre ingeniería inversa y aplicaciones de auditoría, muchos de Las lecciones CCSF de Bowne se pueden asistir de forma gratuita a través de plataformas de aprendizaje remoto.
