Se lanzará un ataque de iPhone por SMS en Black Hat

A Apple le queda un poco más de un día para reparar un error en su software de iPhone que podría permitir a los piratas informáticos hacerse cargo del iPhone, simplemente enviando un mensaje y un SMS (Servicio de Mensajes Cortos).

El error fue descubierto por el conocido hacker de iPhone Charlie Miller, quien habló por primera vez sobre el tema en la conferencia SyScan en Singapur. En ese momento, dijo que había descubierto una forma de bloquear el iPhone a través de un mensaje de texto, y que pensaba que el bloqueo podría conducir al código de ataque.

Desde entonces, ha estado trabajando duro, y ahora dice que está capaz de apoderarse del iPhone con una serie de mensajes SMS maliciosos. En una entrevista el martes, Miller dijo que demostrará cómo se puede hacer esto durante una presentación en la conferencia de seguridad Black Hat en Las Vegas este jueves con el investigador de seguridad Collin Mulliner.

[Más información: cómo eliminar el malware de su PC con Windows]

"SMS es un increíble vector de ataque para teléfonos móviles", dijo MIller, analista de Independent Security Evaluators. "Todo lo que necesito es su número de teléfono. No necesito que haga clic en un enlace ni nada".

Miller comunicó la falla a Apple hace unas seis semanas, pero el fabricante del iPhone todavía no ha publicado un parche para el problema. Los representantes de Apple no pudieron ser contactados para hacer comentarios, pero la compañía generalmente se mantiene en silencio acerca de los fallos del software hasta que lanza un parche.

Si lanza un parche previo al Black Hat, Apple no estará solo. Microsoft tuvo que esforzarse para implementar una solución de emergencia para un problema en su Active Template Library (ATL), que se usa para construir controles ActiveX. Este parche "fuera de ciclo" fue lanzado el martes, antes de otra presentación de Black Hat sobre esa vulnerabilidad en particular.

El ataque de Miller no aparece en realidad Shellcode, los atacantes de software básico usan como un trampolín para lanzar su propios programas en una máquina pirateada, pero le permite controlar las instrucciones que están dentro del procesador del teléfono. Con algo más de trabajo, alguien podría aprovechar este exploit y ejecutar shellcode, dijo Miller.

Aunque es una tecnología antigua, SMS está surgiendo como un área prometedora de investigación de seguridad, ya que los investigadores de seguridad usan las poderosas capacidades informáticas del iPhone y Android de Google. echar un vistazo más de cerca a la forma en que funciona en las redes móviles.

El jueves, otros dos investigadores, Zane Lackey y Luis Miras, mostrarán cómo pueden falsificar mensajes SMS que normalmente solo enviarían los servidores del operador. Este tipo de ataque se puede usar para cambiar la configuración del teléfono de otra persona, simplemente enviándole un mensaje SMS.

Miller cree que es probable que surjan más buses SMS, y para ayudar a encontrarlos, él y Mulliner han desarrollado un SMS "fuzzing" "herramienta, que puede usarse para manipular un dispositivo móvil con miles de mensajes SMS sin enviar los mensajes a través de la red inalámbrica (un esfuerzo costoso).

La herramienta, que él llama el Inyector, se ejecuta en el SO del iPhone, Teléfonos móviles Android y Windows Mobile.

La herramienta se REPLACEa entre el procesador de la computadora del teléfono y el módem, y hace que parezca que los mensajes SMS realmente vienen a través del módem, cuando en realidad están siendo generados por el teléfono.