Archive for iPhone

octubre 16th 2012

FinSpy para iOS: Troyanos del gobierno en iPhone & iPad

Número de lecturas: 6253
{lang: 'es-419'}

La historia de FinFisher saltó a la primera plana de las noticias cuando fue descubierto que este troyano gubernamental para espiar a personashabía sido adquirido por el gobierno de Egipto. Bastante tiempo después se descubrió mucha más información de los vídeos de  marketing del producto, entre ellas un vídeo en el que se veía como durante varios años había utilizado el bug de Evilgrade que había estado sin solucionar en Apple Update, algo reportado por Francisco Amato hacía tiempo.

Por último a finales de agosto de este año se hizo público que el módulo FinSpy Mobile, ya tenía troyanos para Windows Mobile, BlackBerry, Android y el sistema iOS de iPhone, iPad o iPod Touch, llevando el espionaje de la herramienta a los terminales móviles.

YouTube Preview Image
Tras hacerse con una muestra de este malware, que parece que fue filtrado, se pudo ver cómo estaban desarrollando este módulo para saltarse una de las cosas más complejas hoy en día, la validación de code-signing de Apple, que sin embargo se saltan de una manera bastante curiosa:desplegando un provisioning profile de aplicación firmado.Según el análisis publicado en CitizenLab.org de la pieza de malware a la que se tuvo acceso, esta mostraba que había sido desarrollada para Arm7 y que había sido construida con el SDK de iOS 5.1 en un Mac OS X Lion 10.7.3, y que era funcional en iPhone 4, 4S, iPad 1, 2, 3, iPod touch 3, 4 con iOS 4.0 o superior. El troyano se desplegaba en un bundle llamado“install_manager.app” cuyos contenidos eran:

99621a7301bfd00d98c222a89900aeef ./data
1f73ebf8be52aa14d4d4546fb3242728 ./_CodeSignature/CodeResources
9273880e5baa5ac810f312f8bd29bd3f ./embedded.mobileprovision
2cbe06c89dc5a43ea0e0600ed496803e ./install_manager
23b7d7d024abb0f558420e098800bf27 ./PkgInfo
11e4821d845f369b610c31592f4316d9 ./Info.plist
ce7f5b3d4bfc7b4b0da6a06dccc515f2 ./en.lproj/InfoPlist.strings
3fa32da3b25862ba16af040be3451922 ./ResourceRules.plist

Tras analizar el contenido de los ficheros, en el binario Mach-0 de ‘install_manager’ aparecía el más que significativo texto de “FinSpy“, que aparecía en muchas más referencias.
Figura 2: Texto FinSpyV2 en el binario de la app
Por supuesto, para poder desplegar una aplicación en un dispositivo iOS sin jailbreak es necesario que el provisioning profile vaya firmado digitalmente por un certificado de Apple Developer, que en esta muestra pertenecía a Martin MuenchDirector General de Gamma International y la cabeza visible del portafolio de productos de FinFisher, el famoso troyano gubernamental.
Figura 3: Texto con información del Certificado de Martin Muench
Para poder instalar la aplicación además lleva un povisioning profile para distribuir el troyano, en este caso llamado testapp, firmado con un certificado de desarrollador llamado “iPhone Distribution: Martin Muench”, y con los certificados de Apple Root CA, Apple Worldwide Developer Relations Certification Authority y el ya citado iPhone Distribution: Martin Muench. Lógicamente, este sistema permite que la aplicación esté provisionada para funcionar sólo en algunos dispositivos, y en este caso la lista de UDIDs para la que estaba preparado este malware era:

31b4f49bc9007f98b55df555b107cba841219a21,
73b94de27cb5841ff387078c175238d6abac44b2,
0b47179108f7ad5462ed386bc59520da8bfcea86,
320184fb96154522e6a7bd86dcd0c7a9805ce7c0,
11432945ee0b84c7b72e293cbe9acef48f900628,
5a3df0593f1b39b61e3c180f34b9682429f21b4f,
b5bfa7db6a0781827241901d6b67b9d4e5d5dce8

Con este sistema es posible instalar una aplicación en un sistema iOS sin jailbreak utilizando los mecanismos de distribución privada de Apple, es decir, se hace a medida una aplicación para una serie de dispositivos y se autoriza a los UDIDs. Por supuesto, es necesario engañar al usuario para que la instale, utilizando trucos de ingeniería social. Este sistema llama a tomar cuidado de tuUDID para que no se pueda preparar un provisioning profile de un malware para tu dispositivo, algo por lo que generó tanto revuelo el fichero de UDIDs y datos de dueños – supuestamente – sustraído al FBI, algo que no se ha podido demostrar que fuera así o que no fuera así.
Una vez instalada la aplicación de FinSpy, la muestra a la que se tuvo acceso se ocultaba utilizando las opciones de Spring Board y escribía en la aplicación logind.app en/System/Library/CoreServices.  El proceso ‘logind’ existe en OSX pero no está normalmente eniOS, y se instala en /System/Library/LaunchDaemons/com.apple.logind.plist.

 

Figura 4: Instalación del daemon logind com LaunchDaemon en iOS

 

Con este truco se consigue la persistencia al reinicio, y cuando se ejecuta la primera vez elimina la herramienta install_manager.app para quitar cualquier rastro visible de ella. En reinicio se arranca con el ID 47.
Figura 5: Logind con el ID 47 en el terminal de análisis
Una vez en ejecución, para sacar los datos del terminal iOS, primero se descarga una nueva aplicación, llamada SyncData.app, que también está firmada con un provisioning profile para poder instalarse en el terminal, y que tiene funcionalidades para:

– Registro de llamadas de voz.
– Extracción de contactos en el dispositivo.
– Acceso a la posición de localización del terminal.
– Acceso a mensajes SMS.
– Acceso a datos en el terminal.

Para ello, envía datos, y la información del terminal – incluyendo los números IMEI y el identificadorIMSI – a un número de teléfono remoto codificando los datos en Base64.

Figura 6: Envio de mensajes en Base64 con los datos robados
Por último, el análisis descubrió que el daemon logind se conecta a un panel de control remoto y que la información de este parece estar ofuscada y codificada en Base64 en un fichero llamadoSyncData/84C.dat, pero que no pudo ser extraída. Además, el bundle hace referencia a una tercera aplicación – además de install-manager.app y SyncData.app – llamada Trampoline.app, pero que no se examinó en su momento.
Con todo esto, queda claro que la emisión de los certificados de desarrollador Apple pueden ser utilizados para la distribución de aplicaciones de malware maliciosas en ataques dirigidos, y es posible que alguien esté utilizando este truco para troyanizar dispositivos iOS hoy en día ya que si se engaña al usuario para instalar una aplicación con un provisioning profile a medida, éste queda a disposición del atacante.
Fuente:
seguridadapple.com
octubre 16th 2012

Mejoras en hackeruna.com – moviles y login

Número de lecturas: 2955
{lang: 'es-419'}

En estos días se implemento 2 cambios importantes en el sitio, el primero es que ahora se puede ver hackeruna.com desde cualquier dispositivo movil que sea IOS, Blackberry, Windows Phone, Android con una interfaz agradable para navegar por el sitio. Si desean ver como se ve pueden ingresar en este enlace:

http://mobile.dudamobile.com/site/hackeruna

El otro importante cambio es que para registrarse en el sitio o comentar alguna noticia es necesario loquearse sin embargo esto resulta sencillo ya que se puede utilizar twitter, facebook, google, linkedin, github, foursquare para realizarlo.

Espero estos cambios los disfruten y sean de utilidad para que puedan visitar el sitio siempre

 

 

julio 5th 2012

Detectado un virus de iPhone

Número de lecturas: 2335
{lang: 'es-419'}

Hace aproximadamente dos horas, el operador de telefonía móvil ruso Megafon https://twitter.com/#!/MegaFonCorp reportó que un virus troyano que afecta a usuarios de iPhone y Android ha sido detectado.

Una aplicación llamada “find and Call”, que puede ser encontrada en App Store y Google Play, la descripción de esta aplicación promete al usuario una posibilidad “única” de llamadas telefónicas gratuitas a través de la creación de una única base de datos de contactos.

En cambio, la realidad no es tan divertida – después de instalar y registrar la aplicación  (básicamente, proporcionando a la aplicación acceso completo a su lista de contactos, revelando y confirmando su número y su dirección de correo electrónico) Find&Call empieza a enviar spam a toda su lista de contactos.

Podrían ser miles de SMS los enviados, pudiendo salir muy caro al usuario si está utilizando servicio de roaming. El spam en sí mismo se envía a través del malware del equipo, así que el spam, en realidad, sería gratuito para el usuario (a menos que éste esté utilizando roaming).

Kaspersky Lab ha notificado a Google y a Apple acerca de esta amenaza descubierta por Megafon. Megafon ya ha bloqueado el link de malware de entre su tráfico y ha notificado a los principales proveedores de redes de telefonía móvil. Afortunadamente, ya no hay nada que temer, pero éste es un buen ejemplo de lo difícil que es la seguridad móvil, pues esta no depende de la plataforma -cualquiera que se use- Android, iOS or WP7- al final, todo depende del factor humano y de la actitud que uno tome sobre la protección de sus datos personales. Cualquier cosa que hagan – traten de ser cuidadosos. Y usen protección. Como en la vida real.

Fuente:
Facebook Kaspersky Lab – España
Ate. Jaime Tituaña
Consultor T.I

mayo 30th 2012

Jailbreak para iPhone 4s,4 iPad demasiado facil (video)

Número de lecturas: 4603
{lang: 'es-419'}

Realmente el proceso es extremadamente facil, funciona para estos dispositivos:

iPhone 4
iPhone 4S

iPod 3G
iPod 4G
iPad 1
iPad 2 Wi-Fi
iPad 3 Wi-Fi
iPad 3 GSM

Se necesita:

Es sencillo

Primero abrimos el programa esperamos a que el programa nos detecte el dispositivo (el dispositivo tiene que estar encendido)

Una vez detectado damos en jailbreak, esperamos a que termine y listo nada mas asi de facil!
ya tenemos jailbreak con untethered

Video explicativo:

YouTube Preview Image