BHC09: Un mensaje SMS puede infectar tu smartphone [ACTUALIZADO]

por

Ahora si corran en círculos

La conferencia de expertos en seguridad Black Hat, en Las Vegas, sigue dando que hablar y ahora le tocó al iPhone y otros smarthphones ya que, de acuerdo a Dan Goodin, es posible infectar dichos teléfonos con un simple mensaje SMS con el cual el atacante puede tomar completo control del equipo. Los hackers dieron aviso hace semanas a Apple (y suponemos que a las otras compañías afectadas), pero aún no han tenido respuesta o reacción aparente.

Mientras muchos expertos corrían en círculos y en algunos casos tomaban vuelos al Himalaya para revaluar sus vidas, algunos  analizaron la situación y expresaron sus recomendaciones.

Wesley Roberts, indica que para el iPhone (que es en donde se probó la falla), además de simplemente apagar el teléfono o ponerlo en modo avión (imposibilitado de recibir llamadas o mensajes), se puede acceder al telefono vía SSH, navegar al directorio de aplicaciones y luego eliminar todos los permisos de MobileSMS.app con lo cual la aplicación SSH no podrá correr en el iPhone. Otra posible solución que podría o no servir es desactivar el SMS en el control parental, pero el experto indica que no puede asegurar que ello funcione. No deja de ser paradójico que para lograr la solución de seguridad que si funciona es necesario acceder vía SSH y, para ello, el equipo tiene que haber sido desbloqueado con jailbreak, lo cual para Apple es prácticamente un riesgo para la seguridad nacional.

Definitivamente no le ha ido muy bien a la manzanita en esta conferencia; ya había hecho noticia por una grave falla de seguridad y ahora se encuentra una aún peor, también en su momento hizo noticia por lo rápido que su sistema se podía hackear en un concurso de hackers.

Es innegable que la estructura Unix que es el corazón de Mac OS  X (y otros sistemas operativos) entrega mejor seguridad base que muchos otros sistemas, sin embargo, para estos otros sistemas, la menor seguridad relativa y el hecho de ser constante foco de ataques ha hecho que agreguen mecanismos de seguridad adicionales, como los antivirus, verificación de integridad de archivos del sistema, etc. Finalmente, aún cuando la seguridad base es más alta en Mac OS X, una vez que se encuentra una pequeña falla es más fácil explotarla, ya que no hay otros mecanismos de seguridad. Tal ves es hora entonces que tanto Mac OS X, como otros sistemas basados en Unix, se planteen el incluir capas de seguridad adicional en los sistemas que van dirigidos a usuarios normales, como lo ha hecho Red Hat con SE Linux o Novell con App Armor y lo mismo, por supuesto, aplica a los smarthphone que hoy en día no tienen diferencias notables con un computador y prometen una masificación inclúso mayor.

Actualización: Parece que La Manzana se puso las pilas, porque acaban de publicar la actualización iPhone OS 3.0.1 que, en una de las descripciones más breves de cambios jamás vista, señala que “Soluciona el problema de la vulnerabilidad de SMS”. Ahora, esa es la buena noticia, porque la mala es que Apple aún no aprende a lanzar parches, de modo tal que vas a tener que bajar los pequeños 280 MB que pesa la actualización.

Fuente: Computer World