Saltándose el código de bloqueo.

¿Sabías que… con el iPhone bloqueado cualquiera puede realizar llamadas?; aun con la última versión de iOS es posible SALTARSE el código de bloqueo y acceder al registro de llamadas, a la agenda o al carrete donde se almacenan TODAS TUS FOTOS, (entre otras posibilidades)?. Pues estas y otras muchas cosas las detallo en este artículo sobre ATAQUES LOCALES!

Destripando iOS.
Parte III. Ataques Locales.

1.- Introducción a los ataques locales.
En esta Parte III vamos a estudiar los posibles ataques locales contra dispositivos iOS.

Cuando hablamos de Ataques locales nos referimos a aquellas estrategias, técnicas o métodos que utilizamos para saltar, comprometer o romper la seguridad de un dispositivo iOS de forma local, es decir, cuando atacamos un iDevice directamente de forma física. Cuando lo tenemos en nuestras manos, para que se entienda mejor.

Por lo tanto, todos aquellos ataques que requieran de la presencia física del dispositivo serán clasificados como Ataques locales.

A través de estos ataques, como veremos, podemos comprometer la seguridad de cierta información, como por ejemplo:

  • La seguridad del propio sistema operativo iOS.
  • La información sensible alojada o almacenada en el dispositivo, como SMS, WhatsApp!, registro de llamadas, fotografías, contraseñas, etc.
  • Información sensible NO almacenada en el dispositivo pero accesible desde el.
  • Acceso a cuentas de servicios utilizados, cuentas de correo, AppStore, Facebook, Tuenti, Twitter, WhatsApp!, TeamViewer, Line, etc.
  • Acceso a posible información sensible en el futuro. Como sería comprometer el dispositivo para un espionaje TOTAL. Desde escuchas de llamadas hasta localización por GPS en un mapa a intervalos reducidos.

Como podéis observar este tipo de ataques pueden ser, en manos equivocadas… ¡DEVASTADORES!…  Le pone los pelos de punta a cualquiera.

En esta Parte III intentaremos estudiar todos los ataques mencionados con profundidad para que llegado el momento sepamos cómo actuar y defendernos de todos ellos.

Una cita que suelo utilizar mucho a la hora de hablar de estos menesteres y que seguro que recordaréis los que me acompañasteis en mis andaduras en las revistas HackxCrack o @rroba es:

“Solo sabiendo cómo se realiza un ataque se puede contrarrestar al mismo, y esto es seguridad.” (Sire NeTTinG).

Pues bien, sin más preámbulos ¡Empezamos!… seguro que estaréis tan ansiosos como yo.

2.- Lo primero es lo primero.
Cuando nos encontramos ante un dispositivo iOS, con toda probabilidad, lo primero con lo que vamos a tener que lidiar es con un código de bloqueo para poder acceder al dispositivo. Puesto que la mayoría de usuarios de tablets o teléfonos inteligentes (Smartphone) lo utilizan para restringir el acceso a su información a terceras personas. 

A lo largo de este taller o curso de Destripando iOS iremos estudiando todas las formas que existen para poder saltar, comprometer, crackear o conocer el passcode, código de bloqueo de aquí en adelante, de un dispositivo.

3.- Saltándonos el passcode.
Como vinimos diciendo, el passcode es un código de acceso habilitado por el propietario del dispositivo para restringir el acceso físico a terceras personas sin su consentimiento.

Existen diferentes tipos de passcode en un dispositivo iOS, sin embargo, para lo que nos ocupa en este capítulo, carece de importancia. Lo que perseguimos es saltarnos el sistema de protección, no conocerlo o adivinarlo.

A primera vista parece imposible que se pueda saltar el passcode de forma tan “sencilla”, sin que sea necesaria la utilización de herramientas externas o mecanismos más complejos. Esto es posible gracias a las vulnerabilidades descubiertas en el sistema de seguridad de bloqueo del dispositivo.

Lógicamente, cuando aparecen estas vulnerabilidades, Apple las parchea en su próxima actualización, tapando estos agujeros de seguridad.

Por lo tanto, según que versión de iOS utilice el dispositivo nos aprovecharemos de una u otra vulnerabilidad.

Cuando nos encontramos ante un dispositivo vulnerable y ejecutamos el exploit adecuado, combinación de teclas y acciones, vamos a tener SOLO acceso a la aplicación de “Fotos” y “Teléfono”. Que nos permite:

  • Favoritos.
  • Recientes. (Registro de llamadas con su correspondiente información).
  • Contactos. Agenda telefónica completa con todas sus opciones.
  • Teclado. Realizar llamadas.
  • Buzón de voz. Con la posibilidad de desvíos de llamadas.
  • Ver los álbumes del dispositivo a través de los contactos.

Mediante la explotación de estas vulnerabilidades no tendremos acceso TOTAL al dispositivo.

Pasamos a explicar los exploits existentes a día de hoy según la versión de iOS que corra en el dispositivo.

3.0.- Saltar el ‘passcode‘ en iOS 7. [Actualizado 23/Septiembre/2013]
Pasadas unas horas del lanzamiento de iOS 7 se ha descubierto un bug que permite saltarse el ‘passcode‘ de un iPhone con iOS 7.

Esta vulnerabilidad se aprovecha del panel de control que utiliza iOS 7 con el dispositivo bloqueado y las opciones de apagado.

Para explotar este error se debe solicitar un apagado, dejando pulsado el botón de apagado, y después dar al botón de cancelar al mismo tiempo que se hace doble clic en el botón Home. La segunda pulsación debe ser un poco más estirada.

Aquí os dejo un vídeo que explica el proceso:

3.1.- CVE-2013-0980: Saltar el código de la pantalla de bloqueo en iOS 6.1 a 6.1.2
En la actualización de iOS 6.1 / 6.1.2 se puede encontrar un bug que permite saltarse el passcode de todos los dispositivos que utilicen esta versión.

Paso a detallar el exploit para saltarse el código de bloqueo.

Partimos de que el teléfono se encuentra bloqueado:

Bloqueo iOS 6.1

Deslizamos la flecha para desbloquear el teléfono.

Y pulsamos en el botón de “llamada SOS”.

Llamada SOS 6.1

En la siguiente pantalla pulsamos el botón de apagado (arriba) hasta que nos salga la opción de confirmar el apagado o cancelar.

Llamada SOS 6.1

Cancelamos el proceso de apagado. Y volvemos a la pantalla de Llamada SOS.

Si os fijáis, al realizar este proceso, la barra superior a cambiado de color, esto ya nos indica que la versión del teléfono es vulnerable a este exploit.

Apagadar y cancelar, bug 6.1

Marcamos 112 y realizamos la llamada. Y Colgamos rápidamente.

112 llamar y colgar, 6.1

Bloqueamos la pantalla. Pulsando el botón superior una vez.

Activamos la pantalla con el botón home (botón redondo).

Deslizamos la flecha para desbloquear accediendo a la pantalla de pasccode.

Y es aquí donde viene lo complicado del asunto.

Tenemos que pulsar el botón superior durante 6 segundos, más o menos, pasado este tiempo tenemos que pulsar rápidamente el botón “llamada SOS” sin soltar el botón superior.

De lo que se trata es que justo antes de que aparezca el aviso de confirmar el apagado o cancelar pulsemos el botón “llamada SOS” sin soltar el botón superior.

Si fallamos en este último proceso no es necesario volver a repetir todos los pasos. Volvemos a pulsar el botón superior los 6 segundos y rápidamente el botón “llamada SOS” sin soltar el botón superior.

Si hemos realizado correctamente el proceso, nos encontraremos ante la siguiente pantalla.

Favoritos 6.1

En el momento en que dejemos de pulsar el botón superior el dispositivo se volverá a bloquear. Por lo tanto tenemos dos opciones:

  • Realizamos las acciones pertinentes sin soltar el botón superior.
  • O realizar el siguiente truco que consiste en realizar una captura de pantalla de forma muy rápida, casi sin soltar el botón superior. Si todo sale bien veremos el “flash” en la pantalla, que nos indica que se ha producido la captura, y tendremos liberado el botón superior. Es complicado, lo sé, pero posible.

Aquí repito los pasos uno a uno. Con el dispositivo bloqueado:

  1. Deslizamos fecha.
  2. Pulsamos “llamada SOS”.
  3. Pulsamos botón superior hasta que nos salga el botón de apagado y cancelar.
  4. Cancelamos.
  5. Pulsamos 112 y realizamos la llamada.
  6. Colgamos rápidamente.
  7. Bloqueamos el dispositivo con el botón superior.
  8. Activamos el dispositivo con el botón home.
  9. Pulsamos el botón superior y justo antes de que aparezca el botón apagar y cancelar pulsamos “llamada SOS”.

Opcional. Una vez saltado el sistema de seguridad por passcode hacemos una captura de pantalla muy rápida y liberamos el botón superior.

Aquí os dejo un par de videos que explican el proceso:

El siguiente exploit que vamos a explicar también funciona en esta versión 6.1 / 6.1.2. Resulta más sencillo aunque requiere de ciertas “opciones”, como veremos.

¿Cómo podemos saber si han explotado esta vulnerabilidad en nuestro dispositivo iOS?. En este caso, podemos saberlo por dos razones.

1º- La aplicación “Teléfono” está abierta para poder utilizarla en multitarea. Puesto que al explotar la vulnerabilidad abrimos la app y no la cerramos.

Multitarea

2º – Si tenemos una captura de pantalla en nuestro carrete que nosotros no hemos generado.

3.2.- Saltarse código de bloqueo en iPhone 3GS a iPhone 4, iPhone 4S* y iPhone 5* con iOS 6.1.3 (* Siri desactivado).
Justo el día después de salir esta actualización, que  había sido creada para solucionar el problema de seguridad del código de bloqueo descrito anteriormente, se descubrió una nueva forma de saltarse el passcode.

Al principio se creía que esta vulnerabilidad no afectaba a dispositivos iPhone 4S y iPhone 5, puesto que estos dispositivos disponen de Siri. Pero lo cierto es que son vulnerables siempre y cuando tengan desactivado Siri y activada la marcación por voz. Puesto que es en la marcación por voz donde reside el problema.

El exploit en este caso es muy sencillo de realizar. Basta con activar la marcación de voz con el teclado pulsando durante unos segundos el botón home.  Y decir: – Llamar a 1245. Y justo cuando se realiza la llamada sacar la tarjeta SIM del dispositivo. En este caso necesitamos la ayuda de un clip por ejemplo para introducir en el orificio de la tarjeta SIM para sacarla.

Como comprobaréis en el siguiente vídeo, no tiene ninguna complicación:

Al igual que en el caso anterior, la aplicación “Teléfono” estará abierta en la multitarea. (Explicado anteriormente). A mayores obtendremos mensajes de No SIM, desbloquear tarjeta SIM, etc.

Para no ser víctimas de esta vulnerabilidad tenemos que desactivar la marcación por voz.

Ajustes – Bloqueo de código – [Introducir_Código] – Marcación por voz.

Marcacion Voz

 3.3.- CVE-2012-0644: Desbloqueo No SIM hasta iOS 5.0.1
Esta vulnerabilidad afecta a todos los dispositivos que utilicen alguna de las versiones comprendidas entre iOS 3.0 hasta iOS 5.0.1, ambas inclusive, independientemente del modelo de iPhone que se utilice.

Para poder explotar la vulnerabilidad es necesario conocer el número de teléfono de la víctima y algún utensilio para poder sacar la tarjeta SIM.

Lo primero que es hacer una llamada perdida. Para ello puede ser conveniente poner el dispositivo en modo silencio con el botón que encontraremos en la parta lateral.

Por lo tanto obtendremos la llamada perdida en la pantalla de desbloqueo.

Procedemos a sacar la tarjeta SIM. Con lo que obtendremos un aviso por parte del dispositivo.

Ahora, de forma simultánea, debemos de introducir la tarjeta SIM al mismo tiempo que deslizamos hacia la derecha el aviso de llamada perdida para realizar la llama. Si sincronizamos bien los dos procesos nos saltaremos el passcode del dispositivo.

Al saltarnos el passcode tendremos la opción de borrar del registro de llamadas la llamada perdida, para no dejar huellas…

Aunque el usuario podría intuir que ha sido víctima de este ataque dependiendo de la versión utilizada y si esta utiliza la multitarea. Así como ciertos posibles mensajes de aviso de No SIM.

Si desactivamos la previsualización de avisos en la pantalla de bloqueo o la opción de poder contestar llamadas perdidas no seremos expuestos a esta vulnerabilidad.

La versiones 5.1 y 5.1.1 no son vulnerables.

Aquí os dejo un vídeo que realiza el proceso:

3.4.- CVE-2010-4012: Desbloqueo por llamada de emergencia, iOS 4.0 y 4.1.
Para explotar esta vulnerabilidad tan solo tendremos que realizar una llamada de emergencia y pulsar el botón de apagado.

Aquí el vídeo con el proceso.

http://www.viddler.com/v/8cbac961

3.5.- ¿Más vulnerabilidades?

Existen otras vulnerabilidades para poder acceder a la aplicación de “Teléfono” así como para saltarse el sistema de seguridad de bloqueo de iPads.

He decidido no recopilarlas todas. Creo que es innecesario, la mayoría están desfasadas y pueden encontrarse fácilmente a través de buscadores como Google.

En caso de que en un futuro decida recopilarlas todas lo introduciré como un anexo de este capítulo.

Aquí os dejo también un listado con todas las versiones de iOS vulnerables a estos ataques hasta la fecha (11/Septiembre/2012).

  • iPhone OS 1
    •     1.0
    •     1.0.1
    •     1.0.2
    •     1.1
    •     1.1.1
    •     1.1.2
    •     1.1.3
    •     1.1.4
    •     1.1.5
  • iPhone OS 2
    •     2.0
    •     2.0.1
    •     2.0.2
    •     2.1
    •     2.2
    •     2.2.1
  • iPhone OS 3
    •     3.0
    •     3.0.1
    •     3.1
    •     3.1.2
    •     3.1.3
    •     3.2
    •     3.2.1
    •     3.2.2
  • iOS 4
    •     4.0
    •     4.0.1
    •     4.0.2
    •     4.1
    •     4.2
    •     4.3
  • iOS 5
    •     5.0
    •     5.0.1
    •     5.1
    •     5.1.1
  • iOS 6.x
    •     6.0
    •     6.0.1
    •     6.0.2
    •     6.1
    •     6.1.1
    •     6.1.2
    •     6.1.3
    •     6.1.4 (Solo iPhone 5).

En rojo las versiones vulnerables.

3.6. Conclusiones.
Aunque estas vulnerabilidades, a mi modo de ver, no se pueden clasificar como muy graves, puesto que solo permiten el acceso a la aplicación de “Teléfono” y “Fotos”, podrían ser las llaves necesarias para encarrilar ataques, obtener información sensible como: registro de llamadas, duración, mensajes de voz en el contestador, desvío de llamadas, fotografías, etc. Toda ellas podrían actuar como pruebas incriminatorias. Por lo tanto, no deja de ser un acceso muy apetecible para cualquiera.

Un posible caso real.
Como sé que a los seres humanos nos gusta mucho ver las cosas siempre con ejemplos, os voy a poner uno que bien podría ser un totalmente real.

De todos es conocida la mala competencia que existe entre empresas del mismo sector. De ahí que cierta información se guarde “bajo llave” a través de ciertos contratos de privacidad, medidas de seguridad, protocolos de acceso, etc.

Imaginaros que un usuario mal intencionado contratado por una empresa de la competencia tiene acceso durante un tiempo limitado a un dispositivo iOS, para ser más concreto, a un iPhone con una versión vulnerable por acceso por código de bloqueo.

El usuario mal intencionado explotaría la vulnerabilidad. Tendría acceso a la aplicación “Teléfono”. Dentro de este haría una visita rápida a Favoritos, donde bien se podrían encontrar los contactos de los clientes VIP de la empresa, por lo que podría obtener: sus números de teléfono, Nombres y Apellidos, Empresa, direcciones de correo, URLS, direcciones postales, como otros campos.

Vamos, la típica información que cualquier empresa del mismo sector le gustaría poder obtener.

Pero el usuario mal intencionado no solo recolecta información. Si no que la modifica para que no se establezca una comunicación sería entre el cliente VIP y el referente de la empresa.

De todos es conocido, que muchos trabajadores o empresarias hacen caso omiso de sus llamadas, más todavía cuando se trata de números nuevos o desconocidos.

Imaginaros que llama un cliente VIP con un caso muy urgente y muy grave. Como se han alterado los datos, puede que el cliente se pase todo el día tratando de comunicarse con la persona que tendría que solucionarle el problema.

El usuario mal intencionado también podría sacar ciertas conclusiones e información sensible del registro de llamadas. Como ver la duración de las llamas y los números más repetidos, con lo que podría obtener la información mencionada con anterioridad y modificarla para perder el contacto telefónico.

El acceso total a los contactos, por todo lo mencionado, es muy jugoso y nos permite desde añadir teléfonos falsos, modificar información, borrar información, obtener información hasta obtener fotografías de los contactos y acceder al carrete de fotografías del dispositivo.

El acceso al carrete puede estar lleno de información muy interesante. Hoy en día es muy común sacar una fotografía para guardar información como: notas, teléfonos, nombres, productos, precios, referencias, etc en vez de tener que escribirlas en un papel o en las notas del teléfono. Por lo tanto, aquí podemos encontrar de todo, incluso hasta imágenes comprometedoras del propietario, precios de productos, nuevas aperturas, etc.

Los más salvajes podrían hasta añadir ciertas imágenes irrespetuosas a  los VIPS o al mismo jefe…

A través del marcado, el usuario mal intencionado podría ejecutar ciertos códigos numéricos, para obtener información como el IMEI o realizar ciertas acciones, activar servicios, realizar llamadas de dudosa moralidad a números 900… Vamos, lo que se dice poner en un aprieto al propietario del dispositivo ante la empresa.Así como llamar a ciertos clientes en su nombre y provocar estragos.

A través del Buzón de voz podría desviar llamadas a números inexistentes. De esta forma cada vez que el Jefe o ciertos VIPS le llamaran obtendrían como respuesta el conocido mensaje de: “El número marcado no existe”, dejándolo incomunicado.

También podría desviar las llamadas de los clientes a un número de la empresa de la competencia dedicada al marketing o captación de nuevos clientes.

También podría leer los mensajes del buzón de voz.

Como veis, cuando hablamos de seguridad de la información lo que a veces aparenta ser inofensivo puede resultar no serlo, todo depende del escenario al que lo traslademos. Por eso siempre digo que todas estas cosas en las manos equivocadas, como usuarios mal intencionados con buena imaginación, conocimientos y ganas de hacer daño pueden ser, y lo son, devastadoras.

¡Un motivo más para tomar conciencia!

En el próximo artículo. Explicaremos como comprometer el sistema iOS y empezaremos a estudiar ciertas técnicas curiosas para poder predecir o adivinar el passcode.

WadalSaludos -<|:->.

Publicado en Artículos, Destripando iOS, Seguridad Informática
One comment on “Saltándose el código de bloqueo.
  1. Johne157 dice:

    Thanks for this article. I’d also like to convey that it can always be hard if you find yourself in school and starting out to initiate a long history of credit. There are many college students who are only trying to live and have long or good credit history can often be a difficult thing to have. dekbbcbcgfeb

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: