Fail: Investigador asegura evitar el borrado de datos en ataques de fuerza bruta. Apple demuestra que no es así

Por un breve momento, parecía que un investigador en ciberseguridad había encontrado una forma para sobrepasar las barreras de seguridad que ofrecen los iPhone y los iPad a través de la introducción de un infinito número de passcodes para acceder al dispositivo. La supuesta vulnerabilidad aparentemente se presentaba hasta en las versiones más actuales de iOS, sin embargo Apple parece haber rebatido todas estas estas pruebas haciendo que el investigador se retracte de lo que parecía un gran descubrimiento.

Al intentar acceder a un iPhone o iPad bloqueado, los usuarios generalmente deben introducir un número o contraseña para poder desbloquear el dispositivo. Desde hace un tiempo Apple introdujo una función que permite borrar todo el contenido de tu dispositivo si éste detecta que alguien intenta adivinar tu passcode. Pero de acuerdo con Matthew Hickey, cofundador de la firma de ciberseguridad Hacker House, si el dispositivo esta enchufado y un atacante intenta enviar entradas de teclado, este mecanismo se desactiva permitiendo el envió de todas combinaciones posibles de contraseñas en una sola cadena para desbloquear así el dispositivo ya que la función de escritura toma prioridad frente a la de borrado de datos.

Figura 1: Matthew Hickey  coofundador de Hacker House

“En vez de probar una contraseña cada vez y esperar que funcione, si envías una cadena con todas las contraseñas posibles a través de un ataque de fuerza bruta, el dispositivo las procesará evitando así la función de borrado de datos”. Dijo Hickey.

Pocas horas después de que Hickey anunciase esto un representante de Apple explicó que el descubrimiento era erróneo y se trataba solo de un fallo cometido durante la investigación. Poco después Matthew confirmó que había cometido un error y explicó que no todos los passcodes probados fueron enviados al enclave seguro de iPad e iPhone, que es el encargado de prevenir este tipo de ataques. Tras verificar el método usado Hickey confirmó que aunque pareciese que todos los passcodes se estuviesen probando, solo lo hacían algunos de ellos. En cualquiera de los casos, Apple tiene pensado el lanzamiento de una nueva función de seguridad llamada Modo Restringido USB que hará que sea muchísimo más difícil acceder a un iPhone o iPad cuando haya sido conectado a su cable de carga.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.