El iPhone, vulnerable a ataques remotos gracias a los perfiles de configuración

Se acaba de descubrir un agujero de seguridad en el iPhone que permite la ejecución de archivos de configuración de perfiles maliciosos, y que abren la puerta a su creador a redirigir el tráfico del terminal a sitios fraudulentos o con fines de obtener datos personales del usuario, como contraseñas, tarjetas de crédito, etc.

El problema mayor radica en que dichos archivos pueden tener la apariencia de ser oficiales y además, tener un aspecto de archivo firmado y aceptado como si fuese auténtico y no malicioso. Teniendo en cuenta los parámetros que suelen tocar este tipo de archivos (tanto los legales como los maliciosos) un perfil dañino puede inhabilitar servicios básicos del terminal basados en internet, o incluso la conectividad Wi-Fi. A diferencia de los perfiles legales, los maliciosos al parecer no pueden borrarse de forma manual e individual y es necesario borrar por completo el iPhone.

La intención inicial de los archivos de configuración de perfiles porsibilita a las empresas con muchos terminales el poder configurar rápidamente sus iPhone con la simple descarga y aplicación de este tipo de archivos. Son archivos firmados y que el dispositivo reconoce como oficiales y legales. Dichos perfiles suelen descargarse por intervención del usuario desde internet -y directamente desde el terminal- para ajustar parámetros del aparato que no se pueden configurar mediante el propio software del iPhone. Estos archivos fueron descubiertos por muchos cuando proliferaban las paginas web que ofrecían archivos configurables por el usuario para, por ejemplo, habilitar el tethering o los mensajes MMS cuando oficialmente no se habían habilitado.

3 Comentarios

  1. Primero, quiero decir que en el titulo dice que esto ocurre en un iphone, pero en la captura dice ipod, no se si esto perjudica a los dos por igual.
    Segundo, si esto ocurre espero que Apple saque si ya no saco algún parche para corregir este error y de haberlo hecho como uno tiene que hacer para instalarlo.

  2. Hola Diego;

    Si, la imagen dice iPod. Es una imagen ilustrativa puesto que, a pesar de que el iPod touch no tiene conectividad 3G, puede descargar cualquier fichero de este tipo y aplicar la nueva configuraciòn al dispositivo.

    Si Apple saca un parche para solucionar esto teóricamente pasaría por un nuevo sistema de certificación de firmas mediante una actualización de software, que vendría a través de iTunes. Insisto, teóricamente.

  3. Gracias por responder Chus!. Como todos sabemos Apple saco recientemente un nuevo firmware para el iphone que es el 3.1.3 y espero que ya se halla tomado en cuenta esta vulnerabilidad. Por el momento yo tengo el firm 3.1.2 y creo que por ahora no voy a actualizar ya que el mismo no se le puede hacer el jailbrek, pero esta vulnerabilidad y otras que de seguro hay dan que pensar.

Comments are closed.