El querer gestionar cada vez mas aspectos del “mundo real” a través de software comporta riesgos, es el caso reciente de las vulnerabilidades en dispositivos IoT de HomeKit (cerraduras de puertas, aperturas de garages..) o de otras encontradas en Apps bancarias. Hay que tener muy presentes estos riesgos antes de lanzarnos a su uso.
A estas alturas todo el mundo sabe que todo software medianamente complejo contiene fallos en su programación, cosas que no se han depurado, inputs que no se han filtrado correctamente, malas prácticas en cuanto a la programación, posibles problemas que ni tan siquiera se tienen en cuenta hoy en día.. Y que tarde o temprano serán descubiertas y aprovechadas por alguien para atacar a través de ellas. Pero hay vulnerabilidades y vulnerabilidades, cuando surgen estos problemas como vamos a hablar hoy en cerraduras “inteligentes” en nuestras casas o en apps que utilizamos para gestionar nuestras cuentas bancarias la cosa se vuelve un poco mas seria no?
Vulnerabilidades en HomeKit
HomeKit es una gama de productos IoT de Apple, en la que podemos encontrar desde enchufes, sensores de todo tipo, cámaras e incluso cerraduras. Pues bien, en la versión actual de iOS 11.2 lanzada hace pocos días se ha corregido parcialmente una grave vulnerabilidad en el framework de Homekit que permitiría a un atacante acceso no autorizado y control sobre estos dispositivos incluyendo las cerraduras y los sistemas de apertura de garage
Al parecer Apple fue informada del problema el pasado Octubre pero no se corrigieron parte de los problemas hasta esta versión de iOS 11.2, en la cual se eliminaron ciertas funcionalidades para el usuario y se aplicaron parches en sus servidores, se espera que lancen una nueva versión de iOS pronto para restablecer las mismas a sus usuarios.
Vulnerabilidades en Apps bancarias
En un estudio recientemente publicado un grupo de investigadores de la Universidad de Birmingham, han descubierto un fallo crítico en muchas apps bancarias, tanto de Android como iOS, que dejaban sus credenciales vulnerables a los atacantes a través de una ataque man-in-the-middle (MITM)
Entre las apps afectadas teníamos la del Banco Santander, además de otros grandes bancos internacionales como HSBC, NatWest...En principio todas estas apps ya han sido corregidas después que fueran informados por los investigadores.
La vulnerabilidad como decíamos permitía a un atacante conectado en la misma red interceptar los paquetes SSL y capturar el usuario y la contraseña del mismo, incluso aunque la app usara la funcionalidad de seguridad SSL pinning, que ayuda a evitar ataques MITM añadiendo una nueva capa de confianza entre el host y el dispositivo que se conecta a el.
Cuando el SSL pinning esta implementado ayuda a neutralizar ataques en los que los atacantes intentan usar certificados válidos emitidos por una CA que hubiera sido comprometida o que estuviera actuando de manera maliciosa como hemos visto anteriormente aqui en cyberseguridad.net con casos como el de TurkTrust o el de DigiNotar. En las conexiones SSL existen basicamente dos comprobaciones sobre estos certificados, la autenticación que comprueba que el certificado es de una CA de confianza y la autorización en la que la app debe comprobar que el servidor al que nos conectamos presenta el certificado correcto. En este caso el problema era que las apps no comprobaban si conectaban a un servidor de confianza, comprobando que URL a la que la app conectaba fuese la misma presente en el certificado que el servidor devuelve como parte de la conexión SSL.
En el caso de la app del Santander incluso se describe un ataque de phishing en la misma app que permitía a un atacante manipular la pantalla de la app para conseguir credenciales.
-
Como decíamos al principio, la mayorías de vulnerabilidades en el software afectan a nuestra vida digital pero a medida que avanzamos en el mundo IoT y se desarrollan aplicaciones para el mismo es inevitable que aparezcan vulnerabilidades que puedan afectar a nuestra vida real. Que alguien consiga las credenciales de mi correo es grave, que alguien pueda abrir la puerta de mi casa es inaceptable. Que alguien me robe la cuenta en WoW es grave, que alguien me robe dinero de mi cuenta del banco por querer usar una app para conectarse a ella es de nuevo inaceptable. Por no hablar de las vulnerabilidades en los juguetes IoT para nuestros pequeños...
Estamos entrando en un mundo en el que hay que tener muy claro los riesgos asociados al uso de la tecnología para la gestión de aspectos fundamentales en nuestras vidas para no tener que lamentarnos a posteriori. Un ejemplo que digo cada vez que lo veo, que bonito y facil usar una app de un tercero (ya ni siquiera nuestro banco) para que se conecte a nuestras cuentas y nos de avisos sobre la misma no? tenemos idea de que nivel de seguridad nos da eso?, pues eso...
Fuente Spinner: Semi-Automatic Detection of Pinning without Hostname VerificationHostname Verification
Fuente 9to5mac
