URL que podría permitir a ciberdelincuentes secuestrar tus cuentas en iOS

18 julio, 2019

Investigadores de seguridad han mostrado un nuevo ataque por medio de app-in-the-middle (aplicación en el medio), que podría permitir que una aplicación maliciosa instalada en tu dispositivo iOS robe información confidencial de otras aplicaciones, al explotar ciertas implementaciones del Esquema de URL personalizado .

De forma predeterminada, en el sistema operativo iOS de Apple, cada aplicación se ejecuta dentro de una caja de arena (sandbox) propia, lo que impide que todas las aplicaciones instaladas en el mismo dispositivo accedan a los datos de la otra.

Sin embargo, Apple ofrece algunos métodos que facilitan el envío y la recepción de datos muy limitados entre aplicaciones.

Vulnerabilidad

Uno de estos mecanismos se llama Esquema de URL, también conocido como Enlace profundo, que permite a los desarrolladores ejecutar aplicaciones a través de URL, como facetime://, whatsapp://, fb-messenger://.

Por ejemplo, cuando haces clic en “Iniciar sesión con Facebook” dentro de una aplicación de comercio electrónico, inicia directamente la aplicación de Facebook instalada en tu dispositivo y procesa automáticamente la autenticación.

En segundo plano, esa aplicación de comercio electrónico activa el esquema de URL para la aplicación de Facebook (fb://). Esta pasa cierta información de contexto requerida para procesar tu inicio de sesión.

Los investigadores de Trend Micro notaron que dado que Apple no define explícitamente qué aplicación puede usar qué palabras clave para su Esquema de URL personalizado, múltiples aplicaciones en un dispositivo iOS pueden usar un esquema de URL único, que eventualmente podría activar y pasar datos confidenciales a una aplicación completamente diferente de manera inesperada o maliciosamente.

“Esta vulnerabilidad es particularmente crítica si el proceso de inicio de sesión de la aplicación A está asociado con la aplicación B”, dijeron los investigadores.

Para demostrar esto, los investigadores ilustraron un escenario de ataque, como se muestra en la imagen de abajo, utilizando un ejemplo de la aplicación china “Suning” y su implementación de la función “Iniciar sesión con WeChat”, explicando cómo es susceptible al hacking.

En resumen, cuando los usuarios de la aplicación Suning eligen acceder a su cuenta de comercio electrónico mediante WeChat, esta genera una solicitud de inicio de sesión, la cual envía a la aplicación WeChat instalada en el mismo dispositivo mediante el esquema de URL de iOS para la aplicación de mensajería.

La aplicación WeChat luego solicita un token de inicio de sesión secreto de su servidor y lo envía de vuelta a la aplicación Suning para tu autenticación.

Ciberdelincuentes pueden obtener acceso

Los investigadores descubrieron que, dado que Suning siempre usa la misma consulta de solicitud de inicio de sesión para solicitar el token secreto y WeChat no autentica la fuente de la solicitud de inicio de sesión, la implementación es vulnerable al ataque de aplicación en el medio a través del esquema de URL de iOS.

Esto permite que los atacantes obtengan acceso no autorizado a las cuentas de los usuarios.

“Con el esquema de URL WeChat legítimo, se puede crear un WeChat falso, y Suning consultará el falso para el token de inicio de sesión. Si la aplicación Suning envía la consulta, entonces la aplicación falsa puede capturar su esquema de URL de solicitud de inicio de sesión.

“WeChat lo reconoce, pero no autenticará la fuente de la solicitud de inicio de sesión. En su lugar, responderá directamente con una señal de inicio de sesión a la fuente de la solicitud. Desafortunadamente, la fuente podría ser una aplicación maliciosa que está abusando de Suning y su esquema de URL “.

Eso significa que una aplicación malintencionada con el mismo Esquema de URL personalizado que una aplicación específica, puede engañar a otras aplicaciones para que compartan datos confidenciales de los usuarios con ella o puede realizar acciones no autorizadas, lo que podría resultar en la pérdida de privacidad, fraude o exposición a ventanas emergentes con publicidad

“En nuestra investigación, encontramos muchas aplicaciones que nuestro sistema auditó y que están aprovechando esta función para mostrar anuncios a las víctimas. Las aplicaciones potencialmente maliciosas reclamarían intencionalmente el esquema de URL asociado con las aplicaciones populares: wechat://, line://, fb://, fb-messenger://, etc. TambiéIdentificamos algunas de estas aplicaciones maliciosas “, dijeron los investigadores.

Medidas a tomar

Dado que la explotación de esta vulnerabilidad depende totalmente de la forma en que se ha implementado un Esquema de URL, se recomienda a los desarrolladores de aplicaciones y plataformas populares que revisen sus aplicaciones y validen la corrección de solicitudes no confiables.

URL que podría permitir a ciberdelincuentes secuestrar tus cuentas en iOS

Vulnerabilidad

Ciberdelincuentes pueden obtener acceso

Medidas a tomar

Vunlerabilidad para iPhone (Zero-Click, Zero-Day) BLASTPASS de NSO Group

Vulnerabilidad generalizada en PLCs de Siemens podría conducir a un ataque similar a Stuxnet

Millones de vehículos en riesgo: revelan vulnerabilidades en APIs de reconocidas marcas de automóviles

Adquiere tu Membresía Anual Wiser