En el día de ayer, al menos cientos de iPhones en Francia han sido afectados por un ataque automatizado al estilo ransomware: un intruso aprovechó una vulnerabilidad en los dispositivos móviles para modificar el fondo de pantalla de estos, y solicitar U$S 5 a cambio de las instrucciones para la reparación.

Más en detalle, en primer término hace unos meses fue descubierta una vulnerabilidad que afectaba a los dispositivos del tipo iPhone, al incluir dos usuarios con contraseñas por defecto, uno de ellos, el usuario root (administrador). Para aquellos sistemas que poseen el protocolo SSH activo, salvo que el usuario modifique manualmente las configuraciones (deshabilitando el protocolo SSH o modificando la contraseña), el dispositivo podría ser accedido por un tercero.

Posteriormente, un atacante francés decidió probar un ataque masivo explotando esta vulnerabilidad a gran escala. Para ello, realizó los siguientes pasos (genéricamente hablando, ya que pueden haber sido similares):

  1. Obtuvo el rango de direcciones IP que utilizaban los dispositivos móviles en su país
  2. Exploró todo el rango en búsqueda del protocolo SSH activo
  3. Probó el acceso a todos los dispositivos móviles con el protocolo activo, utilizando el usuario y contraseña por defecto
  4. En los sistemas que logró ingresar, modificó el fondo de pantalla indicando la posibilidad de remediar el inconveniente abonando 5 dólares en un sitio web

Los dispositivos afectados se veían como se observa en la siguiente imagen:

iPhone hacked

De esta forma, el atacante comenzó a cobrar un porcentaje de dinero a los usuarios que querían recibir las instrucciones necesarias para solucionar el problema. Si el usuario accedía al sitio web, podía leer el siguiente mensaje:

Estimado usuario de iPhone,

Su iPhone no es seguro. Esa es la razón por la que está visitando esta página, ¿no? Bueno, usted puede pagarme $4,95 a mi cuenta de paypal [ELIMINADO], y yo le voy a enviar un correo con las sencillas instrucciones para asegurar su iPhone. También puede contactarme a Pure[ELIMINADO]@gmail.com.

Curiosamente, luego de que el atacante notó a cuántos usuarios había afectado, y de que las víctimas comenzaran a ingresar sus quejas en diversos foros de MAC, el atacante tuvo un acto de arrepentimiento y publicó en forma gratuita las instrucciones de reparación. Las mismas comienzan con un sencillo "Ok, los planes cambiaron. Esto es lo que debes hacer, suerte y contactenme si tienen alguna duda".

Independientemente de lo curioso del caso, con el atacante sin decidirse si esto era un negocio o una prueba de concepto, queda demostrado que las vulnerabilidades en dispositivos móviles puede ser aprovechadas independientemente del sistema operativo que utilicen.

Este tipo de incidentes sobre dispositivos móviles comienzan a ocurrir con mayor frecuencia, y nos demuestra que son un blanco más que interesante para los atacantes. Será necesario no subestimar este tipo de incidentes y comenzar a tener en cuenta la seguridad en los dispositivos móviles.

Sebastián