iKee y pirni: Malware Vs Sniffer (iPhone)

La seguridad informática en dispositivos móviles aún está muy atrasada con respecto a la que se desarrolló pensando en computadores tradicionales. Según mi criterio, una de las razones más importantes es que no existe aún un sistema operativo que domine el mercado de los dispositivos móviles; cosa que si sucede con Windows en los computadores tradicionales. Consecuencia directa de este hecho es que aún no existe una amenaza en seguridad de la información que tenga un amplio alcance, riesgo y velocidad de propagación…hasta hace unos meses con el incidente de la primera Botnet que afecta los famosos iPhone: iKee.B (Duh) (para los interesados en el tema recomiendo leer el análisis realizado por el SRI).

Resumiendo un poco lo sucedido, en noviembre de 2009 usuarios holandeses de iPhones desbloqueados (liberados del control de la AppleStore que se encontraban en el rango de direcciones IP de T-Mobile 3G notaron una extraña imagen en sus dispositivos:

La ventana le notificaba al usuario que su dispositivo había sido vulnerado y que, si deseaba eliminar el código malicioso instalado, debía pagar 5 USD en un sitio web dedicado para ello. El ataque consistía en realizar una conexión SSH utilizando la contraseña por defecto que tiene Applie en sus iPhone: “alpine”. Luego de tener permisos de root (administrador), el delincuente informático podía ejecutar cualquier comando en el dispositivo, incluyendo infectar el dispositivo con el primer gusano para iPhone: iKee.A. En este momento, el código malicioso podía ejecutarse automáticamente infectando otros dispositivos vulnerables, logrando aproximadamente 21.000 víctimas en una semana (SRI). ¿Cuál sería el siguiente paso lógico para realizar acciones delictivas aprovechando la NOTORIA vulnerabilidad de Apple? R/ La amenaza de moda del 2009: Crear una botnet para iPhone. Para realizar esto se le agregó una consola de comando y control al malware con el fin de controlar todos los dispositivos zombies. Con lo anterior se ratifica lo que investigué el trabajo que realice para el premio ESET 2009: Una red de dispositivos infectados que aprovecha la ubiquidad y conectividad que proporciona las redes inalámbricas 3G.

Ahora bien, la seguridad informática en dispositivos móviles ya no es un mito. El alcance de una amenaza de estas ya no se limita por el alcance del protocolo Bluetooth como sucedía hace unos años: Ahora es posible infectarse automáticamente solamente conectándose a Internet utilizando un dispositivo vulnerable. Es por esto que es importante comenzar a pensar en mecanismos de seguridad informática que existen actualmente en los computadores tradicionales como los analizadores de tráfico (sniffers). Toda esta introducción es para hablar sobre pirni, el primer sniffer de red nativo para iPhone (pirni):

Esta es una interesante iniciativa la cual puede evolucionar a un IPS (Intrusion Prevention System) que pueda analizar el tráfico y bloquear el que considere sospechoso. Desde luego es un desarrollo primitivo que tiene ítems por mejorar, como por ejemplo que sólo funciona en iPhone liberados, sin embargo, es un primer paso en el desarrollo de herramientas que permitan la protección de información confidencial en dispositivos móviles.

Por supuesto que un sniffer también puede ser usado para violar la privacidad de otros realizando ataques de ARP Spoofing o de MitM (Man in the Middle / Hombre en el medio), y ésta no es la excepción. Es por esto que es importante utilizar este tipo de herramientas con responsabilidad y uno de los usos que se me ocurren en este momento es, por ejemplo, detectar el intenso escaneo de dispositivos vulnerables que realiza iKee cuando su iPhone está infectado.

Categories: Seguridad Informática, Smartphones

1 comment

Leave a Reply

Your email address will not be published. Required fields are marked *