SandJacking, otra nueva forma de instalar aplicaciones maliciosas en un dispositivo iOS

Este nuevo método, llamado SandJacking, ha sido descubierto por el investigador de seguridad Chilik Tamir de Mi3, que ha hecho una demostración del mismo durante la Conferencia Hack in the Box. El ataque permite sustituir una aplicación legítima por una maliciosa permitiendo al atacante acceder a los datos asociados a la aplicación a través de la aplicación reemplazada.

El ataque, cuya prueba de concepto de nombre Su-A-Cyder, tiene sin embargo unas limitaciones muy importantes. El dispositivo tiene que estar conectado a un ordenador y se conoce el código de desbloqueo del dispositivo.

El sistema se aprovecha de la forma en la que Apple trata la restauración de una aplicación. Mientras que para la instalación las medidas de seguridad se han elevado notablemente desde iOS 8, a la hora de restaurar una aplicación desde un ordenador es factible hacer este “cambio” por la aplicación maliciosa. la única forma que tiene el usuario de saber si “le han colado” una aplicación maliciosa es comprobar los perfiles instalados en la aplicación Ajustes, ya que estos habrán cambiado al respecto de la aplicación original. Este tipo de ataque no es remoto, por lo que es imposible que navegando o por cualquier método inalámbrico un atacante pueda sustituir una aplicación legítima por una maliciosa, por lo que su impacto real es muy, muy pequeño, y queda limitado a situaciones muy específicas.

Aunque Tamir ha hecho una demostración de este tipo de ataque ahora,a informó a Apple de sus descubrimientos el pasado diciembre y la compañía de Cupertino aún tiene que liberar una actualización de seguridad que solucione este problema. Tamiz ha creado una herramienta que automatiza el proceso de ataque, pero no tiene intención de liberarla al público hasta que Apple no solucione este problema de seguridad.

0 0 votos
Article Rating
Subscribe
Notify of
0 Comments
Opiniones Inline
Ver todos los comentarios
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x