Header Ads Widget

Ticker

6/recent/ticker-posts

Cuando los criptógrafos miraron la seguridad de iOS y Android, no estaban contentos

 

Durante años, el gobierno de EE. UU. Suplicó a los ejecutivos de Apple que crearan una puerta trasera para la aplicación de la ley. Apple se resistió públicamente, argumentando que cualquier medida de ese tipo para la aplicación de la ley se convertiría rápidamente en una puerta trasera para los ladrones cibernéticos y los ciberterroristas.

La buena seguridad nos protege a todos, decía el argumento.

Más recientemente, sin embargo, los federales dejaron de pedir una solución para superar la seguridad de Apple. ¿Por qué? Resulta que pudieron abrirse paso por sí mismos. La seguridad de iOS, junto con la seguridad de Android, simplemente no es tan fuerte como sugirieron Apple y Google.

Un equipo de criptografía de la Universidad John Hopkins acaba de publicar un informe aterradoramente detallado sobre los dos principales sistemas operativos móviles. En pocas palabras: ambos tienen una seguridad excelente, pero no la extienden lo suficiente. Cualquiera que realmente quiera entrar puede hacerlo con las herramientas adecuadas.

Para los CIO y CISO, esa realidad significa que todas esas discusiones ultrasensibles que ocurren en los teléfonos de los empleados (ya sean propiedad de la empresa o BYOD) podrían ser elecciones fáciles para cualquier espía corporativo o ladrón de datos.

Es hora de profundizar en los detalles. Comencemos con el iOS de Apple y la opinión de los investigadores de Hopkins.

“Apple anuncia el amplio uso del cifrado para proteger los datos del usuario almacenados en el dispositivo. Sin embargo, observamos que una cantidad sorprendente de datos confidenciales mantenidos por aplicaciones integradas está protegida mediante una clase de protección débil 'disponible después del primer desbloqueo' (AFU), que no desaloja las claves de descifrado de la memoria cuando el teléfono está bloqueado. El impacto es que se puede acceder a la gran mayoría de los datos confidenciales del usuario de las aplicaciones integradas de Apple desde un teléfono que se captura y se explota lógicamente mientras está encendido pero bloqueado. Encontramos evidencia circunstancial tanto en los procedimientos del DHS como en los documentos de investigación de que la aplicación de la ley ahora explota rutinariamente la disponibilidad de claves de descifrado para capturar grandes cantidades de datos confidenciales de teléfonos bloqueados ".


Bueno, ese es el teléfono en sí. ¿Qué pasa con el servicio ICloud de Apple? ¿Algo ahí?

Oh, sí, lo hay.

“Examinamos el estado actual de la protección de datos para iCloud y determinamos, como era de esperar, que la activación de estas funciones transmite una gran cantidad de datos de usuario a los servidores de Apple, en una forma a la que pueden acceder de forma remota los delincuentes que obtienen acceso no autorizado a la nube de un usuario. cuenta, así como agencias de aplicación de la ley autorizadas con poder de citación. Más sorprendentemente, identificamos varias características contraintuitivas de iCloud que aumentan la vulnerabilidad de este sistema. Como ejemplo, la función 'Mensajes en iCloud' de Apple anuncia el uso de un contenedor cifrado de extremo a extremo inaccesible para Apple para sincronizar mensajes entre dispositivos. Sin embargo, la activación de iCloud Backup en conjunto hace que la clave de descifrado de este contenedor se cargue en los servidores de Apple en una forma que Apple, y los atacantes potenciales, o aplicación de la ley - puede acceder. Del mismo modo, observamos que el diseño de copia de seguridad de iCloud de Apple da como resultado la transmisión de claves de cifrado de archivos específicas del dispositivo a Apple. Dado que estas claves son las mismas que se utilizan para cifrar los datos en el dispositivo, esta transmisión puede suponer un riesgo en caso de que un dispositivo se vea comprometido físicamente posteriormente ".

¿Qué pasa con el famoso procesador Secure Enclave (SEP) de Apple?

“Los dispositivos iOS imponen límites estrictos a los ataques de adivinación de códigos de acceso mediante la ayuda de un procesador dedicado conocido como SEP. Examinamos el registro de investigación pública para revisar la evidencia que indica claramente que, a partir de 2018, los ataques de adivinación de códigos de acceso eran factibles en iPhones habilitados para SEP utilizando una herramienta llamada GrayKey. Hasta donde sabemos, lo más probable es que esto indique que una omisión de software del SEP estuvo disponible en la naturaleza durante este período de tiempo ".

¿Qué hay de la seguridad de Android? Para empezar, sus protecciones de cifrado parecen ser incluso peores que las de Apple.

“Al igual que Apple iOS, Google Android proporciona cifrado para archivos y datos almacenados en el disco. Sin embargo, los mecanismos de cifrado de Android proporcionan menos gradaciones de protección. En particular, Android no ofrece un equivalente de la clase de cifrado de Protección Completa (CP) de Apple, que desaloja las claves de descifrado de la memoria poco después de que el teléfono está bloqueado. Como consecuencia, las claves de descifrado de Android permanecen en la memoria en todo momento después del 'primer desbloqueo' y los datos del usuario son potencialmente vulnerables a la captura forense ".

Para los CIO y CISO, esto significa que debe confiar en Google o Apple o, mucho más probablemente, en ambos. Y también debe asumir que los ladrones y las fuerzas del orden también pueden acceder a sus datos cuando lo deseen, siempre que puedan acceder al teléfono físico. Para un agente de espionaje corporativo bien compensado o incluso un ladrón cibernético con un ojo en un ejecutivo específico, este es un problema potencialmente masivo.

Publicar un comentario

0 Comentarios