En su blog, Max Moser, cofundador del grupo de seguridad remote-exploit.org, describe cómo una característica del iPhone 3.0 de Apple pensada para hacer el iPhone más amigable acaba haciéndolo menos seguro.
La versión 3.0 del software iPhone, según Moser, se ha diseñado para abrir automáticamente el navegador cuando se intenta conectar a una red Wi-Fi.
Un iPhone con el sofware 3.0 realiza una petición de DNS a la página web de Apple y solicita una página específica. Si su petición tiene éxito, asume que la conectividad a la red es correcta. Si no recibe respuesta, asume que no hay redes disponibles.
Pero si recibe una respuesta de un sitio diferente de Apple, asume que el usuario está intentando acceder a la red a través de un portal que requiere autenticación, como ocurre a menudo en hoteles o en otros puntos de acceso Wi-Fi públicos. Para ayudar a los usuarios a completar el proceso de autenticación, el sofware del iPhone automáticamente abre el navegador Safari.
Usando un software de pruebas de penetración llamado karmetasploit y el hardware de red apropiado, un atacante puede configurar su propio punto de acceso Wi-Fi. Cuando un usuario de iPhone intenta unirse a esta red Wi-Fi maliciosa, el atacante puede capturar las cookies, información de las cuentas, y tal vez más cosas, dependiendo en si se pueden explotar otras vulnerabilidades de Safari u otros programas del iPhone.
Cómo funciona Karmetasploit
La versión original de KARMA dependía de una versión modificada del controlador MADWIFI para las tarjetas inalámbricas basadas en Atheros. Aunque esto sigue funcionando, liimta los tipos de tarjetas de red que pueden usarse y requiere algún trabajo de mantenimiento del parche contra el código fuente de la última versión del MADWIFI. Para remediar esto, los desarrollos de Aircrack-NG (especialmente hirte) desarrolló un punto de acceso de modo usuario que funciona con cualquier tarjeta inalámbrica que soporte el modo monitor y la inyección. Esta herramienta se llama ‘airbase’ y estaba incluida en la presentación 1.0rc1 de Aircrack-NG.
No sólo airbase resuelve los límites de hardware de usar un controlador parcheado de MADWIFI, sino que es mucho más sencillo de codificar y de integrar nuevas funciones. El personal de Metasploit contribuyó con un parche para airbase que añade captura de múltiples beacon frames conteniendo los ESSID, la opción de capturar ESSIDs en peticiones de prueba, y una opción para forzar el modo promiscuo (responder a todas las pruebas) sin importar si se ha especificado una ESSID. El resultado es un sustituto potente para el parche MADWIFI que puede aprovecharse de un abanico mucho mayor de clientes inalámbricos.
Con el punto de acceso ya funcionando, el siguiente requisito era el número de servicios de red “maliciosos”. Estos servicios incluyen un daemon DNS que responde a todas las peticiones, un servicio POP3, un servicio IMAP4, un servicio SMTP, un servicio FTP, un par de diferentes servicios SMB, y lo más importante, un servicio web. Estos módulos p pueden encontrarse en el subdirectorio de módulos auxiliares/servidor (auxiliary/server) en la versión de desarrollo del FrameWork Metasploit. Todas las inspecciones DNS resultan en el retorno de la dirección IP del punto de acceso, suponiendo una entrada trasera oculta para todo el tráfico de correo electrónico, web y otros tráficos de red.
Explicación completa en Karmetasploit – Metasploit (en inglés)
Karmetasploit en acción
niUsability-Pwned de Max Moser en Vimeo.n
Via InformationWeek
