Ataques al e-mail en iPhone y iPad podrían comprometer ruteadores

Los ruteadores de al menos tres fabricantes diferentes son vulnerables a quedar comprometidos por un mensaje de correo electrónico que se envía a dispositivos Apple a través de la red.

El investigador de seguridad Bogdan Calin identificó la vulnerabilidad de falsificación de solicitud en diferentes sitios (CSRF, por sus siglas en inglés) tras observar que, de forma predeterminada, todos los dispositivos de la firma de la Manzana están programados para cargar imágenes remotas (es decir, imágenes que no se han enviado con el e-mail). “Un usuario con malas intenciones puede enviarle un correo electrónico con una imagen de 1×1 píxeles incorporada con el color de fondo de su cliente de e-mail, de modo que no es visible”, dijo en una publicación en su blog. “El cliente de correo cargará esta imagen desde un servidor remoto.”

Sin embargo, en lugar de configurar la imagen para que cargue desde un servidor remoto, un atacante bien podría hacer que el e-mail realice una solicitud HTTP GET que apunte a la URL de la interfaz administrativa del ruteador. Como numerosos ruteadores se venden con nombres de usuario y contraseña predeterminados, y muchos usuarios olvidan cambiar esos datos, el correo electrónico podría autenticarse también ante la interfaz administrativa y alterar la configuración del ruteador, por ejemplo para cambiar su configuración DNS.

Gracias a la vulnerabilidad, un atacante podría cambiar la configuración DNS del ruteador para apuntar a un servidor controlado por éste, lo que le permitiría ejecutar un scam para secuestro de clics (que redirige las solicitudes de búsqueda de los usuarios a sitios de la elección de los atacantes), además de ver a escondidas todo el tráfico de Internet que va y viene del ruteador.

“Para aumentar las probabilidades de que este ataque tenga éxito, puedo enviar múltiples imágenes en el mensaje de mail; una con el nombre de usuario y contraseña predeterminados del ruteador y otras con las contraseñas más comunes”, explicó Calin, quien es investigador de seguridad de aplicaciones Web de Acunetix. Utilizando iFrames, los comandos de ataque se pueden ejecutar también en el orden correcto; por ejemplo, autenticando primero al atacante en el ruteador y luego cambiando la configuración.

Calin ha demostrado el ataque contra dos tipos de ruteadores Asus (RT-N16 y RT-N56U), así como también Arcor EasyBox A600 y ruteadores de TP-Link. Pero, a su juicio, probablemente son vulnerables también muchos tipos más de ruteadores: “Cualquier ruteador que acepta cambios de configuración de parámetros GET y no tiene protección contra CSRF podrían ser vulnerables a este ataque simple”, sugirió. “También puedo confirmar que este ataque funciona en el iPhone, la iPad y el cliente de correo predeterminado de las Mac”, pero es probable que el ataque se pueda extender a otros sistemas operativos y clientes de e-mail.

Este tipo de ataque también se podría adaptar para afectar a usuarios de Gmail. Aunque Gmail no carga imágenes remotas de forma predeterminada (los usuarios deben pulsar un botón para lograrlo), si se descargan imágenes remotas de un emisor una vez, Gmail las descargará automáticamente del mismo emisor en el futuro. “Por eso, el uso de este tipo de ataque en contra de un usuario de Gmail también es muy simple: se envía un correo electrónico con texto simple que intrigue a la víctima a responder, y apenas lo haga, se envía un e-mail con una imagen de seguimiento”, dijo Calin.

Por suerte, la solución para esta vulnerabilidad es simple: basta con no usar nombres de usuario predeterminados en ruteadores y siempre definir una contraseña sólida y única en todos los ruteadores para hacerlos menos susceptibles a ataques de contraseñas de fuerza bruta.

Otra opción consiste en inhabilitar la carga automática de imágenes remotas. En un iPhone o iPad, esto requiere dirigirse al menú “Settings” (Configuración), luego seleccionar “Mail, Contacts, Calendars” (Correo Contactos, Calendarios) y localizar “Load Remote Images” (Cargar Imágenes Remotas) en la configuración del correo. “Hay que deshabilitar esta opción para protegerse de este ataque –sentenció Calin–. Sin embargo, al hacerlo, si alguien le envía un mensaje de e-mail con una imagen incorporada no podrá verla.”

SÍGUENOS

Síganos en TwitterSíganos en FacebookSíganos en LinkedinSíganos en Youtube