Nuestro día a día pasa por varias pantallas: estamos acostumbrados a cambiar del teléfono al portátil y del portátil al teléfono con frecuencia. Por eso surge la necesidad de que los dispositivos se sincronicen y entiendan entre sí. Es cómodo, pero según dos expertos holandeses rompe la verificación en dos pasos.

La verificación o autenticación en dos pasos consiste en proteger un servicio con dos contraseñas: la de siempre y una temporal que normalmente nos llega por SMS. Según Radhesh Krishnan Konoth y Victor van der Veen, de la Universidad Libre de Ámsterdam, “el proceso de integrar las aplicaciones entre múltiples plataformas [el móvil y el PC] elimina la brecha que hay entre ellas”, lo que compromete la seguridad. ¿Es posible hackear la verificación en dos pasos de un usuario de Android o iOS? Aparentemente sí.

Advertisement

Los investigadores explican el fallo en un artículo académico que publicaron en febrero, durante la conferencia de seguridad Financial Crypto 2016. El tema viene de lejos. Van der Veen informó a Google en 2014, pero asegura que la compañía se rehusó a arreglar el problema. La vulnerabilidad se hizo pública en 2015 y fue bautizada como BAndroid (ataque browser-to-Android). Van der Veen recibió varias críticas negativas: “no es nada nuevo”, “está sobrevalorado”... Ahora, con el estudio en mano, su colega y él pretenden demostrar su importancia.

¿Cómo funciona? En el caso de Android, partimos de un atacante que tiene el control del navegador de la víctima y está logueado con su cuenta de Google. En ese supuesto, instalar una aplicación en el teléfono del usuario es trivial: sólo hay que abrir Google Play y enviar la app al terminal en cuestión. La aplicación, por supuesto, contiene un malware para ver los SMS del usuario desde una ubicación remota. Tienen que darse dos situaciones más: en primer lugar, la app maliciosa debe ser aprobada por Google Play (el programador tiene que ofuscar el malware para conseguir pasar el análisis automático de la tienda de aplicaciones); en segundo lugar, el atacante tiene que conseguir que el usuario active inadvertidamente la app desde el propio teléfono.

Advertisement

Para solucionar esto último, los investigadores proponen reemplazar todos los marcadores del navegador de la víctima por un código malicioso que active automáticamente la aplicación. Si sale bien (bien para el atacante, mal para la víctima), ya se pueden espiar los SMS del usuario desde una ubicación remota y, en consecuencia, las contraseñas temporales de cualquier servicio con verificación en dos pasos mediante SMS activada. Así se vería el proceso:

En el caso de un usuario con iOS y Mac, el ataque es más sencillo. A partir de OS X 10.10 Yosemite, la función “Continuity” sincroniza los SMS del iPhone con el ordenador cuando están cerca y los almacena en texto plano dentro del archivo ~/Library/Messages/chat.db del Mac. Según los investigadores, el atacante podría obtener la información de los SMS espiando ese archivo en tiempo real con un malware instalado en el Mac. Para el estudio implementaron una extensión de Firefox que usa la API FileUtils.jsm para leer los ficheros del sistema.

Queda claro que se tienen que cumplir unos cuantos supuestos para conseguir explotar la vulnerabilidad, empezando por ganar acceso al navegador de la víctima. Pero también hay que conocer la contraseña permanente del usuario y conseguir que haga clic donde no debe. Por eso, en lugar de una vulnerabilidad, hay quien habla de una decisión de diseño por parte de Google y Apple que deja en manos del usuario el evitar un ataque de este tipo.

“Algunas personas creen que si se ve comprometida la seguridad de tu navegador web ya has perdido”, dice Herbert Bos, profesor de sistemas de la Universidad Libre de Ámsterdam y autor secundario del estudio. “Pero para eso existe la verificación en dos pasos”. [vía The Register]


Síguenos también en Twitter, Facebook y Flipboard.