Jens Heider y Matthias Boll miembros de Fraunhofer instituto para la seguridad de la información en Alemania han ideado una manera de hacerse con las contraseñas albergadas en el iPhone en tan solo 6 minutos sin necesidad de requerir el código que configura el usuario para bloquear el acceso a personas ajenas o en el peor de los casos cuando lo extravías y quieres mantener las manos lejos del desconocido que lo encontró. Pues bien no bastara esta vez con el código de acceso y será mejor que mantengas más precaución a la hora de pensar que estas protegido si llegas a perder tu teléfono repleto de contraseñas.
Todo el problema de seguridad recae sobre el mecanismo interno de administración de contraseñas en el iOS, conocido como “keychain” mismo que requiere una llave secreta totalmente independiente del código de acceso que estableces en la configuración básica del dispositivo, con este esquema se da pauta para evitar la molestia de tener que depender del código inicial del usuario y enfocarse a la otra parte que carece de un control de seguridad y por ende se consigue realizar una serie de pasos muy sencillos para adentrarse en el sistema de archivos y lograr la magia de este pequeño pero invaluable atajo hacia los datos más importantes en nuestro iPhone, las claves de acceso a lugares que accedemos.
Es breve y muy explicito el proceso de intromisión hacia las entrañas del sistema de archivos en un teléfono de la manzanita, la clave de todo esto hablando de tantas claves, es hacerle jailbreak al dispositivo y acceder al interprete de comandos donde se copia y ejecuta un pequeño script o programa de secuencia de comandos encargado de desencriptar la llave secreta que contiene el keychain gracias a las funciones proporcionadas por el mismo sistema operativo.
Y en cuestión de segundos después obtendras frente a tus ojos un desfile de nombres de usuarios, contraseñas, direcciones de servidores, claves wi-fi, cuentas LDAP, cuentas de correo de voz y Microsoft Exchange, redes VPN y varias claves de acceso más que hayas utilizado en el periodo previo a perder tu teléfono, por si fuera poco esto funciona con la última versión del iOS 4.2.1.
Esperemos que pronto salga una actualización en el próximo iOS que corrija esta deficiencia en el sistema de seguridad de contraseñas y así estaremos todos felices y contentos, bueno no porque perder algo si pesa y bastante, pero bueno ya no estaríamos tan preocupados por la integridad de las contraseñas de aquel que pudiera aprovecharse de esta debilidad.
Nota: esto puede ser aplicable también para el iPad.
A continuación una breve demostración en video por los descubridores de esta vulnerabilidad:
No hay comentarios.:
Publicar un comentario