Por Thomas Brewster

Apple atrae a los negocios, en parte, debido a su impresionante historial en seguridad de iPhone y Mac. No obstante, la semana pasada Forbes reveló que el Comité Nacional Demócrata (DNC) estaba abandonando a Android a favor de iOS en medio de las preocupaciones sobre los intentos de piratería en el período previo a las elecciones de mitad de período.

Pero Apple no es perfecto. Los investigadores afirmaron que el jueves encontraron una forma novedosa de robar contraseñas de wifi y aplicaciones de negocios a través de uno de los productos del gigante de Cupertino. Subvirtieron una tecnología de Apple diseñada para ayudar a las empresas a administrar y proteger flotas de iPhones y Macs.

Te interesa: Los nuevos iPhone son hasta 7,000 pesos más caros en México, ¿por qué?

PUBLICIDAD

El problema radica en la apertura del Programa de Inscripción de Dispositivos (DEP) de Apple, según investigadores de Duo Security, adquiridos recientemente por Cisco por 2,350 mdd. Descubrieron que era posible robar contraseñas de wifi y más secretos comerciales internos mediante la inscripción de un dispositivo no autorizado dentro del sistema DEP.

Explotando la apertura de Apple

Mientras que los investigadores explotaron la tecnología de Apple, el fabricante de iPhone asiste en la autenticación de usuario cuando se inscribe un iPhone en DEP. Pero Apple no requiere que los usuarios comprueben quiénes son en realidad. Eso es decisión de las empresas. Luego deben registrar un iPhone, Mac o TVOS inscritos en DEP en su servidor de administración de dispositivos móviles (MDM). Eso se puede mantener en la empresa o en un servicio basado en la nube.

Cuando una empresa decide no requerir autenticación, es posible que un hacker encuentre un número de serie DEP de un dispositivo real registrado, pero que aún no se haya configurado en el servidor MDM de una compañía. Esto se puede recuperar a través de la ingeniería social de un empleado o consultar los foros de productos de MDM donde las personas publican con frecuencia los números de serie, dijeron los investigadores. “Perseverancia”, una computadora puede pasar por todos los números posibles en el DEP hasta que llegue a la correcta, es otra opción.

A continuación, el atacante puede inscribir su dispositivo no autorizado en un servidor MDM utilizando el número de serie elegido y aparecer en la red de la empresa objetivo como un usuario legítimo. A partir de ahí, es posible recuperar contraseñas para aplicaciones y Wi-Fi en todo el negocio de las víctimas, según los investigadores.

Sin embargo, hay una advertencia importante: el atacante tiene que inscribir su dispositivo en el servidor MDM de la empresa antes que el empleado legítimo. Solo aceptará el número de serie requerido una vez.

Pero esa podría no ser una barrera tan grande como uno podría esperar. James Barclay, quien presentará la técnica de ataque durante la conferencia Ekoparty en Buenos Aires a fines de esta semana, dijo que los hackers podrían simplemente buscar los números de serie de los dispositivos que se fabricaron en los últimos 90 días. “Es definitivamente factible que encuentres dispositivos que aún no se hayan inscrito”, le dijo a Forbes.

No le des la espalda al MDM

“En general, esto no significa que no debas usar DEP o MDM”, agregó Barclay. “Los beneficios superan los riesgos inherentes aquí. Pero hay acciones que Apple y los clientes podrían tomar para mitigar los daños”.

En un documento, los investigadores dijeron que con los últimos iPhones y Macs de Apple, la compañía podría usar tecnología de encriptación en los chips del dispositivo para identificar de manera única a los dispositivos cuando se inscriban en DEP. Una mayor autenticación reforzada, también podría ser implementada por Apple, agregaron.

Barclay dice que el método de ataque fue informado a Apple en mayo. Apple no dijo si se realizarían actualizaciones como resultado de la investigación. La compañía dijo en un correo electrónico a Forbes que los ataques no explotaron ninguna vulnerabilidad en los productos de Apple. Su documentación sobre el registro de dispositivos recomienda la autenticación y muchos proveedores de MDM recomiendan o requieren tales medidas de seguridad, dijo un vocero.

Pero Barclay cree que Apple hará actualizaciones para evitar dichos ataques. “No puedo hablar por lo que planean hacer, pero confío en que se harán algunos cambios”.

 

Siguientes artículos

Julian Assange deja de dirigir WikiLeaks
Por

Assange, de 47 años, vive en la embajada de Ecuador en Londres desde 2012.