No recargues tu iPhone o iPad en cualquier lugar

Cada vez que leo Seguridad Apple no deja de sorprenderme la falta de seguridad en los dispositivos creados por la empresa de la manzanita. Recién leía sobre una técnica de ataque conocida como Juice Jacking la cual consiste en robar información de los dispositivos (como las fotos) por el simple hecho de conectarlos para realizar una recarga de baterías.

En la pasada Defcon, una conferencia de seguridad informática, se educó a los asistentes sobre este problema mediante kioskos o torres de recarga como la siguiente:

juice-jaking-usb

En la foto se puede ver una a persona que inocentemente carga su móvil y en la pantalla una advertencia que dice algo como “No deberías confiar en los kioskos públicos de recarga. La información puede ser robada sin tu consentimiento, por suerte en este caso hemos tomado el camino ético y tus datos están seguros. Disfruta de la carga gratuita!

El problema de estas torres es que no sabemos lo que hay al final del cable USB, puede ser un cargador o una computadora que copia automáticamente la información e instala malware:

cargador-usb-cable

Es algo muy parecido a los ataques de USB Dumping que permiten copiar automáticamente el contenido de un pendrive cuando se conecta en un equipo, pero en este caso no es necesario ningún programa especial, puedes probarlo tu mismo con el móvil y la computadora.

Recién lo hice con mi iPhone, al conectarlo a mi computadora para recargarlo podía acceder, transferir y borrar las fotos aún estando bloqueado o apagado!

iphone-acceso-fotos
Aunque está bloqueado se puede acceder a las fotos

Sin embargo, es importante mencionar que si el dispositivo se conecta por primera vez en un equipo (al menos con iOS 4 en adelante) no se podrá acceder a la información hasta que sea desbloqueado. Cosa que en las estaciones de carga sucede a menudo ya que los usuarios aprovechan a usarlo mientras se recarga… así que no lo utilices mientras lo cargas!

Por otro lado en Android el comportamiento es diferente, para acceder a los datos es necesaria una interacción del usuario activando la función USB, pero no requiere el código de desbloqueo y eso podría ser un problema de privacidad. Si el dispositivo se conecta apagado, sólo se carga:

juice-jaking-android

Gracias @elQuique por la captura del Android.

Ver también:
1234 la contraseña más utilizada del iPhone.
Desactivar la previsualización de mensajes en el iPhone.

Deja un comentario