Fallo en iOS 8.3 permite robar nuestras contraseñas

Pablo Aparicio | | Seguridad iPhone

3 Comentarios

Video thumbnail for vimeo video Proceso de elaborar la huella para saltarse la seguridad del Touch ID

Muchos de los robos de contraseñas, la inmensa mayoría, se producen usando ingeniería social. Esto significa que el pseudo-hacker nos conoce lo suficiente para saber nuestras contraseñas a partir de nuestros gustos, preferencias o animales, parejas, fechas, etc. Hasta la llegada de la verificación en dos pasos, hasta podían responder a nuestras preguntas de seguridad. Pero el fallo del que os vamos a hablar en este artículo sí que es un fallo de seguridad que existe en iOS 8.3.

Un investigador de seguridad llamo jansoucek ha descubierto un exploit en iOS que permite a un usuario malintencionado robarnos las contraseñas de iCloud. Todo parece indicar que iOS 8.3 no consigue filtrar con éxito código HTML potencialmente peligroso embebido en los emails recibidos.  El código proof-of-concept que usa jansoucek se aprovecha del fallo mencionado para invocar un HTML remoto que parece idéntico a la ventana de entrada de iCloud, de modo que nos engañaría y meteríamos nuestra contraseña en el sitio equivocado. La ventana falsa desaparece al tocar en “OK”.

Hay detalles que nos permiten identificar que estamos siendo víctimas de este sistema para robarnos la contraseña. El teclado predictivo no se desactiva como debería hacerlo, de modo que si vemos un correo que nos hace poner la contraseña y vemos que el teclado predictivo sigue activo, sólo tendremos que salir pulsando el botón de inicio (home), algo que no podríamos hacer si fuera una ventana real. Si no nos damos cuenta, que también sería comprensible, el usuario malintencionado podría tomar el control de nuestra cuenta impidiéndonos recuperarla.

La mejor manera para prevenir el robo de nuestra cuenta por este método es activar la verificación en dos pasos. En el supuesto caso de que nos robaran la contraseña y el ladrón intentara entrar desde un nuevo dispositivo, se le preguntaría a que dispositivo de confianza se le envía el código y, como no dispone de ellos, no podría robarnos nuestra cuenta.

jansoucek asegura que informó de este fallo el pasado mes de enero, pero aún no ha sido lanzado ningún parche para solucionarlo. De todas formas, afirma que funciona en iOS 8.3 y que no ha sido solucionado aún, pero no dice si está presente en las betas de iOS 8.4 o no. En realidad sí que podría estar ya solucionado, por lo que publicar este fallo es una irresponsabilidad.


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

3 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Dany Sequeira dijo
    hace 8 años

    Ahora me quedo más tranquilo…

    Responder a Dany Sequeira
  2.   Álvaro Del Pino Santana dijo
    hace 8 años

    No se que ha pasado con ios 8, ha sido un verdadero desastre…

    Responder a Álvaro Del Pino Santana
  3.   Elis monzon dijo
    hace 8 años

    Como descargar CYDIA en un IPhone 4s

    Responder a Elis monzon