Archivos de la categoría iPhone

Detect Mobile Browser – proyecto opensource, detecta y redirige a los navegadores móviles desde tu sitio web

Número de lecturas: 1401
{lang: 'es-419'}

Cada vez los teléfonos móviles tienen más importancia en el diseño web, si hace unos años casi nadie usaba Internet desde el móvil, hoy día es un sector con un enorme crecimiento gracias a modelos como el iPhone o los nuevos Android. Eso nos plantea un problema, pues es difícil crear un sitio web que sea valido tanto para resoluciones de ordenador, como para las pequeñas pantallas de los dispositivos móviles. Y si creamos 2 versiones alternativas nos surgirá otra duda, ¿cómo filtramos a los usuarios según el dispositivo desde el que accedan?

Una respuesta a ese problema nos la da el proyecto Detect Mobile Browser que facilita código libre en diferentes lenguajes de programación (Apache .htaccess, ASP, ColdFusion, JSP, Javascript, PHP, Python y Rails) para redirigir a los usuarios de navegadores móviles a una versión especial de nuestro sitio web, que previamente hayamos adaptado.

El código es simple y claro, por lo que no nos supondrá demasiado esfuerzo integrarlo en nuestros proyectos. Además, usa una lista de navegadores bastante completa y actualizada.

Enlace: Detect Mobile Browser

Fuente:

dglibre.com

FinSpy para iOS: Troyanos del gobierno en iPhone & iPad

Número de lecturas: 1701
{lang: 'es-419'}

La historia de FinFisher saltó a la primera plana de las noticias cuando fue descubierto que este troyano gubernamental para espiar a personashabía sido adquirido por el gobierno de Egipto. Bastante tiempo después se descubrió mucha más información de los vídeos de  marketing del producto, entre ellas un vídeo en el que se veía como durante varios años había utilizado el bug de Evilgrade que había estado sin solucionar en Apple Update, algo reportado por Francisco Amato hacía tiempo.

Por último a finales de agosto de este año se hizo público que el módulo FinSpy Mobile, ya tenía troyanos para Windows Mobile, BlackBerry, Android y el sistema iOS de iPhone, iPad o iPod Touch, llevando el espionaje de la herramienta a los terminales móviles.

Imagen de previsualización de YouTube
Tras hacerse con una muestra de este malware, que parece que fue filtrado, se pudo ver cómo estaban desarrollando este módulo para saltarse una de las cosas más complejas hoy en día, la validación de code-signing de Apple, que sin embargo se saltan de una manera bastante curiosa:desplegando un provisioning profile de aplicación firmado.Según el análisis publicado en CitizenLab.org de la pieza de malware a la que se tuvo acceso, esta mostraba que había sido desarrollada para Arm7 y que había sido construida con el SDK de iOS 5.1 en un Mac OS X Lion 10.7.3, y que era funcional en iPhone 4, 4S, iPad 1, 2, 3, iPod touch 3, 4 con iOS 4.0 o superior. El troyano se desplegaba en un bundle llamado“install_manager.app” cuyos contenidos eran:

99621a7301bfd00d98c222a89900aeef ./data
1f73ebf8be52aa14d4d4546fb3242728 ./_CodeSignature/CodeResources
9273880e5baa5ac810f312f8bd29bd3f ./embedded.mobileprovision
2cbe06c89dc5a43ea0e0600ed496803e ./install_manager
23b7d7d024abb0f558420e098800bf27 ./PkgInfo
11e4821d845f369b610c31592f4316d9 ./Info.plist
ce7f5b3d4bfc7b4b0da6a06dccc515f2 ./en.lproj/InfoPlist.strings
3fa32da3b25862ba16af040be3451922 ./ResourceRules.plist

Tras analizar el contenido de los ficheros, en el binario Mach-0 de ‘install_manager’ aparecía el más que significativo texto de “FinSpy“, que aparecía en muchas más referencias.
Figura 2: Texto FinSpyV2 en el binario de la app
Por supuesto, para poder desplegar una aplicación en un dispositivo iOS sin jailbreak es necesario que el provisioning profile vaya firmado digitalmente por un certificado de Apple Developer, que en esta muestra pertenecía a Martin MuenchDirector General de Gamma International y la cabeza visible del portafolio de productos de FinFisher, el famoso troyano gubernamental.
Figura 3: Texto con información del Certificado de Martin Muench
Para poder instalar la aplicación además lleva un povisioning profile para distribuir el troyano, en este caso llamado testapp, firmado con un certificado de desarrollador llamado “iPhone Distribution: Martin Muench”, y con los certificados de Apple Root CA, Apple Worldwide Developer Relations Certification Authority y el ya citado iPhone Distribution: Martin Muench. Lógicamente, este sistema permite que la aplicación esté provisionada para funcionar sólo en algunos dispositivos, y en este caso la lista de UDIDs para la que estaba preparado este malware era:

31b4f49bc9007f98b55df555b107cba841219a21,
73b94de27cb5841ff387078c175238d6abac44b2,
0b47179108f7ad5462ed386bc59520da8bfcea86,
320184fb96154522e6a7bd86dcd0c7a9805ce7c0,
11432945ee0b84c7b72e293cbe9acef48f900628,
5a3df0593f1b39b61e3c180f34b9682429f21b4f,
b5bfa7db6a0781827241901d6b67b9d4e5d5dce8

Con este sistema es posible instalar una aplicación en un sistema iOS sin jailbreak utilizando los mecanismos de distribución privada de Apple, es decir, se hace a medida una aplicación para una serie de dispositivos y se autoriza a los UDIDs. Por supuesto, es necesario engañar al usuario para que la instale, utilizando trucos de ingeniería social. Este sistema llama a tomar cuidado de tuUDID para que no se pueda preparar un provisioning profile de un malware para tu dispositivo, algo por lo que generó tanto revuelo el fichero de UDIDs y datos de dueños – supuestamente – sustraído al FBI, algo que no se ha podido demostrar que fuera así o que no fuera así.
Una vez instalada la aplicación de FinSpy, la muestra a la que se tuvo acceso se ocultaba utilizando las opciones de Spring Board y escribía en la aplicación logind.app en/System/Library/CoreServices.  El proceso ‘logind’ existe en OSX pero no está normalmente eniOS, y se instala en /System/Library/LaunchDaemons/com.apple.logind.plist.

 

Figura 4: Instalación del daemon logind com LaunchDaemon en iOS

 

Con este truco se consigue la persistencia al reinicio, y cuando se ejecuta la primera vez elimina la herramienta install_manager.app para quitar cualquier rastro visible de ella. En reinicio se arranca con el ID 47.
Figura 5: Logind con el ID 47 en el terminal de análisis
Una vez en ejecución, para sacar los datos del terminal iOS, primero se descarga una nueva aplicación, llamada SyncData.app, que también está firmada con un provisioning profile para poder instalarse en el terminal, y que tiene funcionalidades para:

- Registro de llamadas de voz.
- Extracción de contactos en el dispositivo.
- Acceso a la posición de localización del terminal.
- Acceso a mensajes SMS.
- Acceso a datos en el terminal.

Para ello, envía datos, y la información del terminal – incluyendo los números IMEI y el identificadorIMSI - a un número de teléfono remoto codificando los datos en Base64.

Figura 6: Envio de mensajes en Base64 con los datos robados
Por último, el análisis descubrió que el daemon logind se conecta a un panel de control remoto y que la información de este parece estar ofuscada y codificada en Base64 en un fichero llamadoSyncData/84C.dat, pero que no pudo ser extraída. Además, el bundle hace referencia a una tercera aplicación – además de install-manager.app y SyncData.app - llamada Trampoline.app, pero que no se examinó en su momento.
Con todo esto, queda claro que la emisión de los certificados de desarrollador Apple pueden ser utilizados para la distribución de aplicaciones de malware maliciosas en ataques dirigidos, y es posible que alguien esté utilizando este truco para troyanizar dispositivos iOS hoy en día ya que si se engaña al usuario para instalar una aplicación con un provisioning profile a medida, éste queda a disposición del atacante.
Fuente:
seguridadapple.com

Mejoras en hackeruna.com – moviles y login

Número de lecturas: 1080
{lang: 'es-419'}

En estos días se implemento 2 cambios importantes en el sitio, el primero es que ahora se puede ver hackeruna.com desde cualquier dispositivo movil que sea IOS, Blackberry, Windows Phone, Android con una interfaz agradable para navegar por el sitio. Si desean ver como se ve pueden ingresar en este enlace:

http://mobile.dudamobile.com/site/hackeruna

El otro importante cambio es que para registrarse en el sitio o comentar alguna noticia es necesario loquearse sin embargo esto resulta sencillo ya que se puede utilizar twitter, facebook, google, linkedin, github, foursquare para realizarlo.

Espero estos cambios los disfruten y sean de utilidad para que puedan visitar el sitio siempre

 

 

Detectado un virus de iPhone

Número de lecturas: 1221
{lang: 'es-419'}

Hace aproximadamente dos horas, el operador de telefonía móvil ruso Megafon https://twitter.com/#!/MegaFonCorp reportó que un virus troyano que afecta a usuarios de iPhone y Android ha sido detectado.

Una aplicación llamada “find and Call”, que puede ser encontrada en App Store y Google Play, la descripción de esta aplicación promete al usuario una posibilidad “única” de llamadas telefónicas gratuitas a través de la creación de una única base de datos de contactos.

En cambio, la realidad no es tan divertida – después de instalar y registrar la aplicación  (básicamente, proporcionando a la aplicación acceso completo a su lista de contactos, revelando y confirmando su número y su dirección de correo electrónico) Find&Call empieza a enviar spam a toda su lista de contactos.

Podrían ser miles de SMS los enviados, pudiendo salir muy caro al usuario si está utilizando servicio de roaming. El spam en sí mismo se envía a través del malware del equipo, así que el spam, en realidad, sería gratuito para el usuario (a menos que éste esté utilizando roaming).

Kaspersky Lab ha notificado a Google y a Apple acerca de esta amenaza descubierta por Megafon. Megafon ya ha bloqueado el link de malware de entre su tráfico y ha notificado a los principales proveedores de redes de telefonía móvil. Afortunadamente, ya no hay nada que temer, pero éste es un buen ejemplo de lo difícil que es la seguridad móvil, pues esta no depende de la plataforma -cualquiera que se use- Android, iOS or WP7- al final, todo depende del factor humano y de la actitud que uno tome sobre la protección de sus datos personales. Cualquier cosa que hagan – traten de ser cuidadosos. Y usen protección. Como en la vida real.

Fuente:
Facebook Kaspersky Lab – España
Ate. Jaime Tituaña
Consultor T.I