La protección de un iPhone mediante un código PIN ha resultado ser insuficiente. Siguiendo cinco sencillos pasos, un ladrón de identidad puede acceder a la lista completa de contraseñas almacenadas en el teléfono de Apple.
Al extraer la tarjeta SIM, y hacer un jailbreak del teléfono (es decir, instalar en éste software alternativo no certificado por Apple) y subir al aparato un script (procedimiento automático, expertos en seguridad de Fraunhofer Institute Secure Information Technology (Fraunhofer SIT) lograron acceder al registro de claves (keychain) de un teléfono iPhone. Keychain contiene todos los nombres de usuario y claves del teléfono, almacenadas en una lista de texto simple.
Esto permite a un eventual intruso acceder a las cuentas de correo electrónico del propietario del iPhone, su cuenta de Exchange, WiFi protegidas y a algunos, pero no todos, los programas instalados en el aparato.
También es fácil conseguir acceso a Facebook y otras cuentas de redes sociales, al igual que a tiendas online y otros lugares donde el usuario tenga cuenta. Al tener el nombre de usuario y la clave de acceso a una cuenta de correo electrónico, el intruso solo necesita pedir una nueva clave y recibirla por e-mail.
Los investigadores de Fraunhofer admiten que no les fue posible acceder al código de la tarjeta SIM. Así, los propietarios de iPhone pueden sentirse cierta tranquilidad en caso de ser víctimas del robo de su iPhone por parte de un ladrón con conocimientos ligeramente superiores a lo normal.
La descripción completa del procedimiento está disponible en el sitio de Fraunhofer, que además ha publicado este vídeo sobre el tema.
Video aqui:
En diciembre de 2010, Apple desistió de detectar e intervenir los terminales desbloqueados mediante el procedimiento "jailbreak".
Durante varios años, Apple ha combatido el sistema de jailbreaking, o desbloqueo, que permite cargar y activar en unidades iOS, incluido el iPad, software no distribuido mediante la plataforma App Store, férreamente controlada por Apple.
La API (interfaz de programación de aplicaciones) que hacía posible la detección de software no autorizado fue incorporada en la versión 4.0 de iOS. Silenciosamente, la API ha sido desactivada por Apple.
Aunque Apple no explica sus razones, un factor importante podría ser que las autoridades estadounidenses determinaron recientemente que el jailbreaking no constituía un procedimiento ilegal. Al extinguirse el respaldo legal de su API, Apple optó por recalcar que al desbloquearse el terminal, éste quedaba expuesto a daños y defectos permanentes.
Apple incluso llegó a decir que había "millones" de incidencias de teléfonos iPhone dañados debido al desbloqueo.
Al no haber un anuncio formal de Apple respecto a la desactivación de la mencionada API, abundan las especulaciones e interpretaciones. La más evidente parece se que se trata de una batalla perdida por Apple, ya que los hackers de todas formas encuentran la forma de desactivarla y así instalar el software que les interesa.
¿Cuánto tarda un hacker? Los expertos en seguridad informática señalan que un hacker con un software especial tarda menos de un minuto y medio para descifrar una contraseña de cuatro caracteres alfanuméricos y 46 segundos si son sólo letras minúsculas.
Claves de ocho dígitos. En cambio, demorará más de 200 años para descifrarla si tiene ocho caracteres alfanuméricos. Y dos días y medio si la clave tiene sólo ocho letras minúsculas.
El 50% anota sus claves Una de las mayores amenazas para la seguridad informática constituye el hecho de que el 50% de las personas anota sus contraseñas para poder recordarlas.
El sueño del hacker. Si se coloca “contraseña” en el buscador Google, casi la mitad de los sitios remiten a estrategias para violar claves de correo. Otros tantos, preguntan, ¿olvidó su contraseña?
Fuente: Diario TI / Blog Cosas Sencillas
News
Sent from my BlackBerry Smartphone
Comentarios