XARA: todo lo que debemos saber

Pablo Aparicio

6 minutos

Seguridad-informática

Ayer publicamos en Actualidad iPhone que se había detectado un problema de seguridad grave que afecta a dispositivos que usan sistemas los operativos iOS y OS X. El problema ha sido bautizado como XARA, Unauthorized Cross-app Resource Access (la X supongo que es por “cross”) y tiene como objetivo el llavero de iCloud, siendo especialmente preocupando el caso de OS X. Es necesario que Apple repare este fallo, pero tampoco es necesario que cunda el pánico.

En este artículo intentaremos explicar todo lo relacionado con XARA, qué es lo que hace, a qué afecta y qué podemos hacer para evitar que un usuario malintencionado tenga acceso a nuestros llaveros de iCloud.

[ACTUALIZACIÓN 20/6/2015] Apple habla sobre XARA:

«A principios de esta semana añadimos una actualización de seguridad en forma de aplicación en el servidor que asegura los datos de las aplicaciones y bloquea aplicaciones con problemas de configuración sandbox de la Mac App Store». Además respondieron a una consulta diciendo que “Tenemos más parches en progreso y estamos trabajando con los investigadores para tratar el problema in situ».

¿Qué es XARA?

XARA es el nombre usado para unir en un mismo término a un grupo de exploits que usan una aplicación maliciosa para conseguir acceder a información segura a través de una aplicación legítima. Lo consiguen usando el método “man-in-the-middle”, lo que significa que se sitúa entre nosotros y un servidor legítimo usando phising (suplantación de identidad) con el fin de engañarnos para que le facilitemos nuestras credenciales.

¿Cuál es el objetivo de XARA?

En OS X, XARA tiene como objetivo la base de datos del llavero de iCloud (iCloud Keychain), en donde guardamos nuestros usuarios y contraseñas; WebSockets, un canal de comunicación entre aplicaciones y asociados a servicios; e identificadores de paquetes, lo que sólo identifica aplicaciones sandbox y pueden ser usadas como contenedores de datos de destino.

En iOS, XARA tiene como objetivo esquemas URL. El robo de URLs no es una vulnerabilidad del sistema operativo. Se puede usar si un mecanismo de seguridad oficial no está en su lugar para conseguir la funcionalidad deseada. Parece que en iOS el fallo no es tan grave ya que su exposición es muchísimo más limitada.

¿Cómo se distribuyen los exploits?

Los investigadores de seguridad crearon aplicaciones y las subieron a la Mac App Store y a la App Store. En el Caso de OS X también se pueden distribuir por otra web y las podemos instalar si así lo configuramos desde los preferencias del sistema.

Las tiendas de aplicaciones tratan de identificar si existe un comportamiento malicioso. Si detectan un comportamiento de este tipo en la App Store, como es el caso se XARA, la información se usa para revisiones futuras para prevenir que los mismos exploits accedan a la App Store en un futuro. Así que la App Store no se vio comprometida.

¿Cómo actúan estas aplicaciones?

Dicho de un modo fácil, se ponen de intermediarias entre el intercambio de información o en aplicaciones sandbox. Lo que hacen es esperar y “cruzar los dedos” esperando a ser usadas. Si no se da el caso, no pueden hacer nada.

En el caso del llavero de iCloud de OS X, puede pre-registrarse o borrar y volver a registrar credenciales. Con los WebSockets, puede ocupar un puerto preventivamente. Con los identificadores de paquetes, puede añadir a las listas de control de acceso de aplicaciones legítimas subobjetivos maliciosos.

En iOS, sólo puede secuestrar URLs legítimas y hacer uso del phishing.

¿Qué tipo de datos están en peligro?

Datos del llavero de iCloud, Websockets y URLs.

¿Qué se podría hacer para prevenir XARA?

Lo mejor sería un sistema en el que las aplicaciones se autentificarán con seguridad en todas las comunicaciones posibles. Eso es trabajo de Apple.

Si vemos que en nuestro llavero se ha borrado algo, podemos pensar que es un fallo, pero si vemos un registro que no hemos hecho es un síntoma de que alguien ha tenido acceso a él.

Apple tiene que actualizar el sistema, eso es lo más importante. Y lo tiene que hacer cuanto antes.

¿Es posible saber si mis datos han sido interceptados?

En iOS, debemos ver la aplicación falsa por lo menos durante un instante antes de pasar a la aplicación legítima. Si estamos buscando un fallo, nos daríamos cuenta, pero si no, sería difícil.

¿Por qué se ha publicado XARA?

Los investigadores descubrieron el fallo el año pasado. Se lo comunicaron a Apple y los de Cupertino les pidieron por lo menos 6 meses para abordar el problema. Pasados los 6 meses, los investigadores lo han hecho público.

Lo peor de todo es que es una irresponsabilidad que sólo sirve para darse importancia como investigadores de seguridad. Lo que yo haría al descubrir un fallo de este tipo es trabajar con la compañía hasta que se solucionara. Entonces, y sólo entonces, publicaría la información.

Además, los investigadores han reconocido que Apple ha estado trabajando en ello desde que le comunicaron el problema, por lo que publicar la existencia de este fallo de seguridad no va a servir para que Apple se de más prisa. Sólo va a servir para promocionarse y para poner los datos de los usuarios en peligro, ya que ahora cualquier usuario malintencionado puede usar la información publicada.

Por otra parte, Apple ha solucionado muchos fallos más importantes durante este tiempo. Y no es que XARA no sea peligroso, si no que no lo es tanto como para darle prioridad ni para alarmarnos tal y como lo estamos haciendo. Una llamada a la calma.

Entonces ¿Qué debemos hacer?

XARA es un grupo de exploits que deben ser solucionados, pero los debe solucionar Apple. Tal y como dicen en iMore, que es la fuente de este artículo, no tiene que cundir el pánico, pero cualquier usuario de un Mac, iPhone o iPad debe que ser informado. Hasta que Apple solucione el problema, lo mejor es lo de siempre: no descargar aplicaciones de dudosa procedencia. Y pongo dos ejemplos: si descargamos un juego nuevo de un desarrollador no conocido de la App Store y nos pide que pongamos nuestra contraseña para acceder a nuestro llavero, no lo hacemos. Y lo mismo con los usuarios que tengáis el jailbreak en vuestro dispositivo, pero en estos casos también es importante usar los tweaks de los repositorios oficiales.


Te interesa:
Según afirma Apple, es la compañía más eficaz del mundo en seguridad
Síguenos en Google News

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Manuel González dijo
    hace 9 años

    Como siempre, tus artículos son muy objetivos e interesantes, saludos desde México!

    Responder a Manuel González