Una grave vulnerabilidad de seguridad de día cero de Apple expone tanto las contraseñas de Keychain como las de las aplicaciones a los atacantes

TL;DR – Investigadores de seguridad descubren una grave explotación de día cero en Mac OS X e iOS que puede ser explotada para robar datos de aplicaciones, contraseñas y varias otras credenciales.

Un grupo de seis investigadores de seguridad de la Universidad de Indiana y el Instituto de Tecnología de Georgia han encontrado una grave vulnerabilidad de seguridad de día cero de Apple tanto en iOS como en Mac OS X, que permite que el malware obtenga acceso no autorizado a las credenciales de las aplicaciones del dispositivo, ayudando así a los atacantes a robar datos sensibles del usuario, como contraseñas de iCloud, la aplicación Mail y todas las contraseñas web almacenadas por Google Chrome. En resumen, esta explotación expondrá directamente el Keychain de Apple y otras aplicaciones, incluidas las de terceros.

Esta falla ha sido confirmada por Apple, Google Chrome y otros.

La investigación ha sido publicada en un documento titulado Acceso no autorizado a recursos entre aplicaciones en MAC OS X e iOS. Los investigadores involucrados fueron: Xing; Xiaolong Bai; XiaoFeng Wang; y Kai Chen se unieron a Tongxin Li, de la Universidad de Pekín, y Xiaojing Liao, del Instituto de Tecnología de Georgia.

Mientras hablaban con la mesa de seguridad de The Register, el equipo mencionó que habían llevado esta vulnerabilidad a la atención de Apple en octubre de 2014. Luego, Apple dijo que entendía cuán grave era esta explotación y pidió al equipo que les diera un plazo de seis meses en el que abordarían y proporcionarían alguna solución a esta falla. Apple también pidió a los investigadores que no revelaran esta falla en público hasta que solucionaran este problema.

En febrero de 2015, Apple solicitó al equipo que les proporcionara una copia anticipada de su documento de investigación. Lamentablemente, el equipo de investigación ha confirmado que las fallas están presentes incluso en las versiones más recientes de Mac OS X e iOS y, por lo tanto, tuvieron que hacer pública esta vulnerabilidad.

Xing dijo: “Hemos descifrado completamente el servicio de keychain – utilizado para almacenar contraseñas y otras credenciales para diferentes aplicaciones de Apple – y los contenedores de sandbox en OS X, y también identificamos nuevas debilidades dentro de los mecanismos de comunicación entre aplicaciones en OS X e iOS que pueden ser utilizados para robar datos confidenciales de Evernote, Facebook y otras aplicaciones de alto perfil.”

Xing agregó: “Nuestras aplicaciones maliciosas pasaron exitosamente el proceso de revisión de Apple y fueron publicadas en la tienda de aplicaciones de Mac de Apple y la tienda de aplicaciones de iOS. Hemos descifrado completamente el servicio de keychain – utilizado para almacenar contraseñas y otras credenciales para diferentes aplicaciones de Apple – y los contenedores de sandbox en OS X, y también identificamos nuevas debilidades dentro de los mecanismos de comunicación entre aplicaciones en OS X e iOS que pueden ser utilizados para robar datos confidenciales de Evernote, Facebook y otras aplicaciones de alto perfil.”

El equipo de investigación también mencionó que a pesar de la fuerte revisión de Apple, pudieron subir malware que explotó las vulnerabilidades a las tiendas de aplicaciones de Mac OS X e iOS. Parece que estas aplicaciones que eran vulnerables a ataques fueron aprobadas para ambos sistemas operativos.

El grupo también probó la explotación en una amplia gama de aplicaciones de Mac e iOS y el resultado fue terrible, ya que mostró que casi el 90% de las aplicaciones eran vulnerables y otorgaron acceso completo al malware, no solo con respecto a los datos almacenados, sino también a las credenciales de inicio de sesión.

El desarrollador de la aplicación 1Password, AgileBits, aceptó que no pudo encontrar ninguna manera de proteger la aplicación contra la explotación. Una publicación reciente en el blog de Jeffrey Goldberg de AgileBits dice: “Ni nosotros ni Luyi Xing y su equipo hemos podido encontrar una forma completamente confiable de resolver este problema.”

Según el grupo de investigación de seguridad, el equipo de seguridad de Chromium de Google fue más receptivo y eliminó la integración de Keychain para Chrome. El equipo de seguridad de Google Chrome también confirmó que cuando el ataque está a nivel de aplicación, sería casi imposible protegerse contra la explotación.

El grupo de investigación de seguridad también lanzó un video que expone la Vulnerabilidad de Keychain de Google Chrome en OS X. (mira el video a continuación)

En respuesta a la publicación de The Register, uno de los comentarios en Hacker News sugiere que aunque el malware no puede acceder directamente a las entradas existentes de Keychain; sin embargo, puede obligar a los usuarios a iniciar sesión manualmente y luego capturar las credenciales sensibles en una entrada recién creada, obteniendo así acceso no autorizado de manera indirecta a los datos sensibles de los usuarios.

Los investigadores de seguridad también dijeron: “Los elementos de Keychain tienen listas de control de acceso, donde pueden incluir aplicaciones en la lista blanca, generalmente solo a sí mismos. Si mi aplicación bancaria crea un elemento de keychain, el malware no tendrá acceso. Pero el malware puede eliminar y recrear elementos de keychain, y agregar tanto a sí mismo como a la aplicación bancaria a la ACL. La próxima vez que la aplicación bancaria necesite credenciales, me pedirá que las vuelva a ingresar y luego las almacenará en el elemento de Keychain creado por el malware.”

Los investigadores de seguridad advierten a todos los usuarios de Mac OS X e iOS que sean más cautelosos siempre que estén descargando aplicaciones de desarrolladores desconocidos, ya sea de las tiendas de aplicaciones de iOS y Mac. Además, en caso de que se necesite iniciar sesión mediante Keychain y si el sistema aún pide a los usuarios que inicien sesión manualmente, esto debería activar una alarma y alertar a los usuarios de que hay algo mal en el sistema.

A principios de este mes, se reveló una vulnerabilidad de BIOS/EFI de Mac en la que la explotación daría control permanente de un Mac al atacante y un formateo de la unidad tampoco ayudaría al usuario a detener al atacante de acceder y controlar el Mac.

Otra vulnerabilidad detectada este mes fue un error en la aplicación Mail de iOS que podría ser probablemente un ataque de phishing en el que un atacante ejecutaría un código HTML remoto cada vez que el usuario abre un correo electrónico y con ese código el atacante podría imitar un aviso de inicio de sesión de iCloud, obligando así a los usuarios a dar sus credenciales de Apple ID.

Los investigadores de seguridad dicen que como regla general, es esencial que los usuarios nunca permitan que su navegador o un gestor de contraseñas almacenen los inicios de sesión sensibles como las credenciales de banca en línea.

Los investigadores de seguridad también mencionan: “Las consecuencias de tales ataques son devastadoras, llevando a la divulgación completa de la información más sensible del usuario (por ejemplo, contraseñas) a una aplicación maliciosa incluso cuando está en sandbox. Tales hallazgos […] son solo la punta del iceberg.”

En su documento, los investigadores mencionan: “Al investigar la causa raíz de estas fallas de seguridad, encontramos que en la mayoría de los casos, ni el sistema operativo ni la aplicación vulnerable autentican adecuadamente a la parte con la que interactúan. Fundamentalmente, el problema proviene del desafío para una aplicación de autenticar al propietario de un elemento de Keychain existente. Apple no ofrece una forma conveniente de hacerlo.