Dispositivos con iOS 8: encuentran importante falla que facilitaría trabajo a los piratas informáticos


Los investigadores de Skycure, una empresa israelí dedicada al rubro de la seguridad en dispositivos móviles, han hallado una importante falla en los certificados SSL del iOS 8 que podría ser una nefasta puerta de entrada para los hackers, a través de la cual podrían volver totalmente inoperantes a los mismos aparatos si es que éstos se hallan dentro del rango de alcance de una zona inalámbrica falsa.

ios8-logo

Vulnerabilidad en dispositivos de Apple

Esta importante fragilidad se aprovecha del modo con el cual iOS 8 gestiona estos certificados SSL. A partir de su manipulación (de los certificados), los investigadores lograron hacer que las aplicaciones en iPads, iPhones e iPods, tanto como el mismo OS, se volvieran inútiles e inoperantes. Además, consiguieron poner los dispositivos en un ciclo continuo de apagado y prendido.

Dos importantes ejecutivos de la firma de seguridad mencionada, Yair Amit y Adi Sharabani, han hecho ayer comentarios sobre la falla (a la cual han llamado “Zona de No iOS”) en una de las sesiones de la RSA Conference y se extendieron un poco más hoy sobre sus hallazgos a través de la página de un blog.

Ataque controlado

Al tiempo que para los hackers es preciso controlar la red inalámbrica para conseguir insertar sus certificados SSL falsos, los investigadores sencillamente tuvieron presente este peligro delante de ellos sólo aparejando la mencionada falla de los certificados junto con una antigua amenaza denominada como WiFiGate, la cual se aprovecha de una característica que permite a usuarios de dispositivos móviles setear las configuraciones en aparatos que corren con iOS. Éstos se encuentran preprogramados para que se conecten automáticamente a la red Wi-Fi configurada para quienes están suscriptos. Para ilustrar este concepto, la empresa Skycure conceptualiza que en el Reino Unido los iPhones de la red Vodafone están conectadas a una de estas dos redes Wi-Fi: “1WifiVodafone1x” o “Auto-BTWiFi”. Teniendo en cuenta que los usuarios no pueden deshabilitar ni cambiar las preconfiguraciones en el Wi-Fi, la única forma con la que cuentan para no correr peligros ni caer en trampas nefastas es la de cerrar el Wi-Fi en el dispositivo, siempre a partir de los informes otorgados por Skycure en el caso WiFiGate.

Resultado

Los piratas informáticos que conozcan los nombres de estas redes inalámbricas preprogramadas, datos a los que pueden acceder con facilidad en el iOS mismo, pueden desarrollar y poner en marcha una red falsa de Wi-Fi a la cual se conecten por defecto los móviles de Apple. A partir de allí, pueden llegar a provocar un ataque dirigido a la falla de los certificados SSL con el cual llegar a congelar los dispositivos. En el caso que los usuarios de estos aparatos crean que la responsable de estas fallas y ataques es la misma red Wi-Fi, mientras sus dispositivos entran en este ciclo de apagado y prendido continuo, no van a conseguir nunca desactivar la conexión Wi-Fi y parar de esta forma el ataque.

Aún no se han denunciado ni registrado amenazas de seguridad que se aprovechen de la falla de los certificados SSL; en caso que se den, podrían considerarse como catastróficas si se dan en una locación con tráfico intenso y continuo de móviles como se da en un aeropuerto o en ambientes como Wall Street.

Teniendo en cuenta que aún no se ha solucionado esta falla de seguridad, Skycure, por supuesto, no está brindando detalles técnicos ni específicos al público, pero sí están informando profundamente a Apple acerca de este tema tan complicado y trabajando codo a codo para hallar una resolución.

Recomendación

Recomiendan, eso sí, actualizar cada dispositivo móvil de la empresa de Cupertino a la última versión de iOS, considerando que en ella pueden ya encontrarse las soluciones necesarias para no caer en trampas evitables.




Sebastian

Sebastián es editor del sitio desde el año 2011. Colabora con tópicos de seguridad, tecnología, sistemas, negocios y gadgets. Sus intereses son Tecnología y Negocios, los cuales también desarrolla en otros medios digitales

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *