Ayer era el día en el que Apple decidió mostrar al mundo sus nuevos productos. Un iPhone 6 más grande, más rápido y más potente, un iPhone 6 plus aún más grande, en HD, que cuesta 1.000 € si quieres el biggest of the biggers, un sistema de pagos usando NFC que en un alarde disrupción han llamado Apple Payments y por último Apple Watch, el reloj inteligente de Apple - que he de decir que me ha gustado mucho todo lo que he visto de él -. Pero... yo hoy venía a hablaros de otra cosa que para muchos usuarios quizá ha pasado más inadvertido y que también ha lanzado Apple: El Phishing Universal para Apple iCloud.
 |
| Figura 1: Apple lanza el Phishing Universal para Apple iCloud |
Puesta en situación
Para los que acaben de llegar del Planeta Mercurio o de la comarca de Babia en la región de León, hace unos días se produjo el Celebgate, donde algunas actrices de Hollywood aparecieron retratadas en momentos no pensados para el gran público. Tras este incidente, hubo especulaciones, investigaciones y recriminaciones sobre los fallos de seguridad que Apple, siempre en pro de la usabilidad, había relegado a planificaciones temporales más tardías.
Se habló de un bug que permitía hacer fuerza bruta a la contraseña a través de los servidores de Find My iPhone, de que Apple iCloud ignora el segundo factor de autenticación, de que el backup en iCloudNO permite una clave maestra de cifrado controlada por el usuario, de que da facilidades para robar cuentas al no permitir cambiar las preguntas de recuperación de claves, de que da facilidades al spoofing de correo al tener el filtro SPF como SoftFail, que no avisa bien a los usuarios cuando se hace uso de sus credenciales en otras ubicaciones y de que las integraciones de WebViews en apps de iPhone son malas y ayudan al Phishing al hacer Address Bar Spoofing.
Sirvan todos esos pequeños ejemplos como una breve recopilación de cosas que tal vez Apple podría pensar en mejorar para que ofrecieran un mayor grado de seguridad, y que Tim Cook zanjó en una entrevista con el Wall Street Journal diciendo: "Mejoraremos la seguridad de Apple iCloud".
Las mejoras
La primera oleada de mejoras llegó, y Apple cerró el bug de Find My iPhone que permitía hacer fuerza bruta a las credenciales, para pasar a bloquear las cuentas cuando se prueban más de 30 contraseñas distintas erróneas - lo que ha abierto que algunos se dediquen a generar problemas de soporte en Apple extras -.
 |
| Figura 2: Opción para cerrar todas las sesiones de iCloud vía navegador |
En la segunda, Apple ha añadido en las opciones de cuenta de Apple iCloud dos cosas: La primera la posibilidad de cerrar todas las ubicaciones abiertas de Apple iCloud por si te has dejado la sesión abierta en un sitio remoto por descuido, pero que vale para poco más si el malo tiene la contraseña o un token de acceso a iCloud.
El phishing Universal
Y ahora viene la mejor. La segunda media: Un sistema para hacer Phishing Universal a todos los usuarios de Apple iCloud. ¿Cómo? Fácil. Institucionalizando que ahora sí, desde Apple, se te va a pedir que con urgencia cambies la contraseña. Como ya teníamos el panel de control para hacer las demos que usé en el ejemplo del robo de cuentas de iCloud con Phishing, nos enviamos un correo legítimo, lo copiamos y probamos. Es genial tener ya un modelo para engañar a las víctimas sin tener que pensar en ningún otro truco. Usa siempre éste modelo para robar cuentas.
 |
| Figura 3: El correo de phishing que hay que utilizar como plantilla en español |
Años llevan las entidades bancarias diciéndole al usuario cosas como "Nunca te pedimos que cambies la contraseña por e-mail" para que Apple ahora decida que sí, que es lo que te van a pedir. Así que nada, para los amigos del fraude online ahora existe una plantilla modelo para crear el correo de spam que meta urgencia en el usuario y consiga que vaya a una página de phishing que le robe las passwords, con el mismo truco que expliqué ayer para Robar contraseñas de iCloud a un usuario de iPhone. Basta con decir "Eh, tío, alguien ha entrado en tu cuenta, si no has sido tú... ¡Cambia la password!"
Viendo esto, me alegra ver que Latch está mucho mejor pensado, ya que si alguien tiene la contraseña buena e intenta entrar una sola vez, no solo no podrá, sino que además te enteras de que la contraseña ha sido robada porque te avisa vía notificación a tu app, algo que no pasa con los sistemas como Google Authenticator o la Verificación en dos pasos de Apple en iCloud.
Saludos Malignos!
