En Australia se ha detectado el primer ataque en forma de gusano contra el iPhone de Apple. Como suele ser habitual en estas primeras etapas, se trata de un ejemplar muy sencillo y que no provoca daños, pero que abre la veda para posibles consecuencias más graves. Aun así, las características del ataque y el tipo de dispositivo hacen que las oportunidades de esparcir un gusano se vean muy limitadas.
Ikee es el nombre que algunas casas antivirus le han dado a este prototipo de gusano para el iPhone. Busca teléfonos con el puerto SSH abierto, aprovecha la contraseña por defecto y se copia a sí mismo en el sistema. Modifica el fondo de pantalla con una fotografía de Rick Astley (famoso cantante de finales de los 80, intérprete del éxito “Never gonna give you up” y desde hace algún tiempo, protagonista de un extraño movimiento nacido en la red: el “Rickrolling”). Luego deshabilita el SSH del teléfono. Se trata de un ejemplar muy simple, programado por un aficionado, del que se ha publicado el código fuente (por lo que se prevén nuevos ataques basados en él). Este tipo de infección abre algunas cuestiones que nos resultan interesantes.
Si hablamos de SSH, nos restringimos a los teléfonos a los que se le ha practicado el “jailbreak”, esto es: permiten la ejecución de programas no firmados por Apple. Estos suelen tener el SSH abierto, escuchando en el puerto 22 y con una contraseña de root por defecto conocida: “alpine”. Un atacante en la misma red solo tiene que conectarse al puerto y entrar si el usuario no la ha modificado. No se trata de ninguna vulnerabilidad. Aquí entran en juego dos factores interesantes que no ayudan precisamente a un atacante: Primero que el servidor SSH del teléfono solo se encuentra activo mientras el teléfono está activo. O sea, si se encuentra en “stand by” con la pantalla apagada, el servicio no está disponible. Esto limita enormemente las posibilidades de que cualquier atacante, en cualquier momento, acceda a él.
Segundo, las posibilidades de ataque (fuera de una red local) dependen igualmente de la operadora a través de la que se conecte a Internet. Habitualmente, al menos en España, las operadoras realizan NAT sobre la conexión para ahorrar direcciones IP públicas y a su vez no exponer el dispositivo directamente a Internet. O sea, el teléfono tendrá una dirección IP “interna” única, pero una externa que puede ser compartida por varios dispositivos. Por tanto, desde el exterior, no sería posible acceder a un servicio concreto de un iPhone a no ser que la operadora “mapeara” los puertos correspondientes. Podríamos decir que así los dispositivos están protegidos del acceso directo a Internet. Optus por el contrario, la operadora bajo la que funcionaban los iPhone atacados por el gusano, no usa NAT.
Este ataque del gusano Ikee está relacionado con el que se dio a conocer hace unos días en Holanda. Un adolescente realizó exactamente la misma acción: buscó dispositivos con el puerto 22 abierto, se conectó por SSH con la contraseña por defecto y mostró un mensaje en la pantalla pidiendo 5 euros por las instrucciones para abandonar su teléfono (que consistía en simplemente, cambiar la contraseña). El chaval consiguió engañar a algunas decenas de usuarios.
Aunque curiosos, este tipo de ataques se encuentran muy limitados por las circunstancias ya expuestas, aunque si son propicias, es posible que puedan causar un daño considerable. Los peores ataques, sin embargo podrían venir por vulnerabilidades como las encontradas no hace mucho en el propio terminal. Contenía un error a la hora de interpretar los SMS que permitía a un atacante enviar un mensaje y ejecutar código arbitrario en el iPhone que lo recibiese. Esto abarcaría todos los iPhone, con el “jailbreak” realizado o no e independientemente de su operadora, por lo que resultaría bastante más peligroso un gusano basado en este esquema. Además, el iPhone hoy en día es un ordenador muy potente que a medio plazo puede resultar interesante para las mafias del malware.
Para protegerse de estos tipos de ataques, es necesario mantener el iPhone actualizado y modificar la contraseña de root.
ssantos@hispasec.com
Más información:
iPhone worm in the wild
http://isc.sans.org/diary.html?storyid=7549&rss
Dutch hacker holds jailbroken iPhones “hostage” for ?5 (Updated)
http://arstechnica.com/apple/news/2009/11/dutch-hacker-holds-jailbroken-iphones-hostage-for-5.ars
Posible ejecución de código a través de SMS en iPhone
http://www.hispasec.com/unaaldia/3905
Deja un comentario