Nuestro d√≠a a d√≠a pasa por varias pantallas: estamos acostumbrados a cambiar del tel√©fono al port√°til y del port√°til al tel√©fono con frecuencia. Por eso surge la necesidad de que los dispositivos se sincronicen y entiendan entre s√≠. Es c√≥modo, pero seg√ļn dos expertos holandeses rompe la verificaci√≥n en dos pasos.

Advertisement

La verificaci√≥n o autenticaci√≥n en dos pasos consiste en proteger un servicio con dos contrase√Īas: la de siempre y una temporal que normalmente nos llega por SMS. Seg√ļn Radhesh Krishnan Konoth y Victor van der Veen, de la Universidad Libre de √Āmsterdam, ‚Äúel proceso de integrar las aplicaciones entre m√ļltiples plataformas [el m√≥vil y el PC] elimina la brecha que hay entre ellas‚ÄĚ, lo que compromete la seguridad. ¬ŅEs posible hackear la verificaci√≥n en dos pasos de un usuario de Android o iOS? Aparentemente s√≠.

Los investigadores explican el fallo en un art√≠culo acad√©mico que publicaron en febrero, durante la conferencia de seguridad Financial Crypto 2016. El tema viene de lejos. Van der Veen inform√≥ a Google en 2014, pero asegura que la compa√Ī√≠a se rehus√≥ a arreglar el problema. La vulnerabilidad se hizo p√ļblica en 2015 y fue bautizada como BAndroid (ataque browser-to-Android). Van der Veen recibi√≥ varias cr√≠ticas negativas: ‚Äúno es nada nuevo‚ÄĚ, ‚Äúest√° sobrevalorado‚ÄĚ... Ahora, con el estudio en mano, su colega y √©l pretenden demostrar su importancia.

Advertisement

¬ŅC√≥mo funciona? En el caso de Android, partimos de un atacante que tiene el control del navegador de la v√≠ctima y est√° logueado con su cuenta de Google. En ese supuesto, instalar una aplicaci√≥n en el tel√©fono del usuario es trivial: s√≥lo hay que abrir Google Play y enviar la app al terminal en cuesti√≥n. La aplicaci√≥n, por supuesto, contiene un malware para ver los SMS del usuario desde una ubicaci√≥n remota. Tienen que darse dos situaciones m√°s: en primer lugar, la app maliciosa debe ser aprobada por Google Play (el programador tiene que ofuscar el malware para conseguir pasar el an√°lisis autom√°tico de la tienda de aplicaciones); en segundo lugar, el atacante tiene que conseguir que el usuario active inadvertidamente la app desde el propio tel√©fono.

Para solucionar esto √ļltimo, los investigadores proponen reemplazar todos los marcadores del navegador de la v√≠ctima por un c√≥digo malicioso que active autom√°ticamente la aplicaci√≥n. Si sale bien (bien para el atacante, mal para la v√≠ctima), ya se pueden espiar los SMS del usuario desde una ubicaci√≥n remota y, en consecuencia, las contrase√Īas temporales de cualquier servicio con verificaci√≥n en dos pasos mediante SMS activada. As√≠ se ver√≠a el proceso:

En el caso de un usuario con iOS y Mac, el ataque es m√°s sencillo. A partir de OS X 10.10 Yosemite, la funci√≥n ‚ÄúContinuity‚ÄĚ sincroniza los SMS del iPhone con el ordenador cuando est√°n cerca y los almacena en texto plano dentro del archivo ~/Library/Messages/chat.db del Mac. Seg√ļn los investigadores, el atacante podr√≠a obtener la informaci√≥n de los SMS espiando ese archivo en tiempo real con un malware instalado en el Mac. Para el estudio implementaron una extensi√≥n de Firefox que usa la API FileUtils.jsm para leer los ficheros del sistema.

Advertisement

Queda claro que se tienen que cumplir unos cuantos supuestos para conseguir explotar la vulnerabilidad, empezando por ganar acceso al navegador de la v√≠ctima. Pero tambi√©n hay que conocer la contrase√Īa permanente del usuario y conseguir que haga clic donde no debe. Por eso, en lugar de una vulnerabilidad, hay quien habla de una decisi√≥n de dise√Īo por parte de Google y Apple que deja en manos del usuario el evitar un ataque de este tipo.

‚ÄúAlgunas personas creen que si se ve comprometida la seguridad de tu navegador web ya has perdido‚ÄĚ, dice Herbert Bos, profesor de sistemas de la Universidad Libre de √Āmsterdam y autor secundario del estudio. ‚ÄúPero para eso existe la verificaci√≥n en dos pasos‚ÄĚ. [v√≠a The Register]


Síguenos también en Twitter, Facebook y Flipboard.