{"id":8047,"date":"2016-03-31T12:56:03","date_gmt":"2016-03-31T12:56:03","guid":{"rendered":"https:\/\/kasperskydaily.com\/spain\/?p=8047"},"modified":"2020-02-26T17:30:57","modified_gmt":"2020-02-26T15:30:57","slug":"acedeceiver-mitm-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/acedeceiver-mitm-attack\/8047\/","title":{"rendered":"AceDeceiver: el malware que puede infectar CUALQUIER iPhone"},"content":{"rendered":"<p>Los usuarios de iPhone suelen considerar sus tel\u00e9fonos como fortalezas impenetrables que Apple ha construido para ellos: se dice que los iPhones son seguros, especialmente cuando se comparan con los dispositivos Android. S\u00ed, realmente los iPhones son <em>m\u00e1s seguros<\/em> que los tel\u00e9fonos Android, pero eso no significa que sean <em>totalmente seguros.<\/em> No existen las fortalezas impenetrables.<\/p>\n<p><strong><\/strong><\/p>\n<p><a href=\"https:\/\/www.kaspersky.es\/blog\/wirelurker-el-malware-que-ataca-los-mac-os-x-y-dispositivos-ios\/4823\/\" target=\"_blank\" rel=\"noopener\">Ya hemos hablado<\/a> anteriormente de no <a href=\"https:\/\/www.kaspersky.es\/blog\/ransomware-afecta-ios-osx\/3534\/\" target=\"_blank\" rel=\"noopener\">solo una<\/a>, sino varias <a href=\"https:\/\/www.kaspersky.es\/blog\/xcodeghost-compromises-apps-in-app-store\/6904\/\" target=\"_blank\" rel=\"noopener\">amenazas de iOS<\/a> y hemos dado <a href=\"https:\/\/www.kaspersky.es\/blog\/diez-consejos-para-hacer-tu-iphone-aun-mas-seguro\/4315\/\" target=\"_blank\" rel=\"noopener\">consejos sobre la seguridad para dispositivos de Apple<\/a>. Sin embargo, el <em>malware<\/em> para iOS contin\u00faa emergiendo y el ejemplo m\u00e1s reciente, descubierto por <a href=\"http:\/\/researchcenter.paloaltonetworks.com\/2016\/03\/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device\/\" target=\"_blank\" rel=\"noopener nofollow\">Palo Alto Networks<\/a>, parece ser uno de los m\u00e1s peligrosos hasta el momento.<\/p>\n<p>\u00bfPor qu\u00e9? Porque no se requiere haber hecho <em>jailbreak<\/em> en ninguno de tus dispositivos iOS, ni utilizar un certificado corporativo robado para instalar un <em>software<\/em> malicioso. Esta nueva familia de <em>malware<\/em> se llama AceDeceiver y es capaz de infectar pr\u00e1cticamente <strong>cualquier<\/strong> dispositivo iOS.<\/p>\n<p><strong>Las buenas intenciones<\/strong><\/p>\n<p>Todo comenz\u00f3 con la novedosa idea que alguien tuvo de no pagar por lo que uno quiere. En este caso, se ide\u00f3 un m\u00e9todo de ataque para piratear las apps de iOS: el llamado ataque FairPlay Man-in-the-Middle. <a href=\"https:\/\/www.kaspersky.es\/blog\/que-es-un-ataque-man-in-the-middle\/648\/\" target=\"_blank\" rel=\"noopener\">En este post<\/a> encontrar\u00e1s m\u00e1s informaci\u00f3n sobre el concepto de ataque Man-in-the-Middle. Ahora preferimos concentrarnos en lo que es FairPlay y c\u00f3mo funciona realmente AceDeceiver.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Trojan Exploits Apple DRM Flaw, Plants <a href=\"https:\/\/twitter.com\/hashtag\/Malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Malware<\/a> On Non-Jailbroken <a href=\"https:\/\/twitter.com\/hashtag\/iOS?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iOS<\/a> Devices: <a href=\"https:\/\/t.co\/n5MHIRbOn7\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/n5MHIRbOn7<\/a> <a href=\"https:\/\/t.co\/SluytGnjmJ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/SluytGnjmJ<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/710219381712801793?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 16, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>FairPlay es la protecci\u00f3n DRM (Gesti\u00f3n Digital de Derechos) que utiliza Apple tanto para la m\u00fasica y los v\u00eddeos, como para sus apps. Probablemente ya sabes que los usuarios de iPhone pueden comprar apps en iTunes desde su ordenador y luego transferirlas a sus tel\u00e9fonos. Claro est\u00e1, esto requiere la comprobaci\u00f3n de que el usuario realmente ha hecho una compra. Como prueba de ello, iTunes genera un c\u00f3digo de autorizaci\u00f3n para cada aplicaci\u00f3n. As\u00ed es como funciona FairPlay.<\/p>\n<p>El problema es que el c\u00f3digo siempre es el mismo para cada aplicaci\u00f3n, por lo tanto, si logras interceptarlo, puedes utilizarlo para descargar la misma aplicaci\u00f3n en innumerables iPhones y iPads. B\u00e1sicamente, as\u00ed es c\u00f3mo funciona FairPlay Man-in-the-Middle.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/03\/05220409\/acedeciever-mitm.png\" alt=\"\" width=\"834\" height=\"407\"><\/p>\n<p><strong>La aplicaci\u00f3n con dos caras<\/strong><\/p>\n<p>Finalmente, el m\u00e9todo evolucion\u00f3 hasta llegar a ser una app store pirata. Se bas\u00f3 en un programa de Windows llamado Aisi Helper, que inicialmente era utilizado para hacer <em>jailbreak<\/em> a iPhones, crear copias de seguridad y reinstalar iOS. Despu\u00e9s, se a\u00f1adi\u00f3 una nueva funci\u00f3n a esta herramienta: comenz\u00f3 a inyectar una app con el mismo nombre a cualquier iPhone conectado a un ordenador que tuviera el programa de Aisi Helper instalado. La app mostraba un mont\u00f3n de apps piratas que los usuarios descargaban gratuitamente.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">10 consejos para hacer tu <a href=\"https:\/\/twitter.com\/hashtag\/iPhone?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iPhone<\/a> a\u00fan m\u00e1s seguro <a href=\"https:\/\/t.co\/mNzbAb91M1\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/mNzbAb91M1<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ciberseguridad?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ciberseguridad<\/a> <a href=\"https:\/\/t.co\/P57OmqFKH5\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/P57OmqFKH5<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/711973235227754496?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 21, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Curiosamente, la aplicaci\u00f3n Aisi Helper se instalaba en los iPhones utilizando la misma t\u00e9cnica de FairPlay Man-in-the-Middle. Por eso, para inyectar el Aisi Helper a los iPhones, los creadores primero necesitaban subirla a la App Store y obtener el c\u00f3digo de autenticaci\u00f3n leg\u00edtimo para esta app. Sin embargo, a Apple no le gustan las tiendas de apps piratas dentro de su App Store.<\/p>\n<p>Para seducir a los revisores de c\u00f3digos de Apple, Aisi Helper se hac\u00eda pasar por una aburrida e inofensiva aplicaci\u00f3n gratuita de fondos de pantalla. Para asegurarse de que no se revelara la verdad, los criminales utilizaron un doble truco. Por un lado, cuando se lanz\u00f3 por primera vez, la app revisaba la ubicaci\u00f3n del tel\u00e9fono y, si no estaba en China, solo mostraba fondos de pantalla (y as\u00ed lo ha hecho desde entonces).<\/p>\n<p>As\u00ed que, para ver la verdadera interfaz de la tienda pirata, los revisores de c\u00f3digos de la App Store de Estados Unidos, al igual que cualquier otro usuario, tendr\u00edan que estar en China, lo cual es poco probable. Este es el motivo por el que nadie se dio cuenta antes de que la app era algo m\u00e1s que otra colecci\u00f3n de fondos de pantalla.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Chinese Mobile Ad Library Backdoored to Spy on iOS Devices: <a href=\"https:\/\/t.co\/1kpMrH8HJC\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/1kpMrH8HJC<\/a> via @thretapost <a href=\"https:\/\/t.co\/0I1RTUEWln\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/0I1RTUEWln<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/661962442587643905?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 4, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ahora, Apple ha eliminado todas las versiones de la app de Aisi Helper de la App Store. Pero eso no significa que sea el fin de este<em> malware<\/em>. Para poder aplicar un ataque de FairPlay Man-in-the-Middle, no se necesita tener la app en la App Store. El requisito es que ya <em>haya estado antes<\/em>. Y, esto se cumple al 100 % en el caso de esta aplicaci\u00f3n pirata de fondos de pantalla Aisi Helper.<\/p>\n<p><strong>El juego sucio<\/strong><\/p>\n<p>Entonces, \u00bfqu\u00e9 hay de malo con la app store pirata adem\u00e1s de las cuestiones morales que plantea? Vale, si alguien te dice algo como: \u201cHe robado esto y ahora te lo voy a dar gratis\u201d, no le creas. Nunca. Hay una probabilidad del 99,9 % de que te est\u00e9n enga\u00f1ando.<\/p>\n<p>Y ese es exactamente el caso de esta app. Estas aplicaciones fueron inofensivas para sus usuarios durante un tiempo. Pero, llegados a cierto punto, estas aplicaciones empezaron a pedirles sus datos de acceso como el ID de Apple y la contrase\u00f1a \u201cpara acceder a m\u00e1s funciones\u201d. Despu\u00e9s de eso, se sub\u00edan las credenciales al servidor de comando de AceDeceiver.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">Siete aplicaciones de iPhone para tu seguridad <a href=\"http:\/\/t.co\/92xsFv6Yrn\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/92xsFv6Yrn<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iPhone?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iPhone<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/apps?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#apps<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/seguridad?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#seguridad<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/467250762117287936?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 16, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Creo que ya ha quedado claro por qu\u00e9 estamos hablando de AceDeceiver en el blog de Kaspersky Daily. Este error en la seguridad de FairPlay sigue sin estar parcheado. Y aunque lo estuviera, probablemente la versi\u00f3n anterior del sistema operativo sigue siendo vulnerable al mismo ataque.<\/p>\n<p><strong>Vale, \u00bfc\u00f3mo me protejo?<\/strong><\/p>\n<p>La buena noticia es que este ataque en particular no tiene como objetivo ning\u00fan lugar fuera de la China continental. La mala noticia es que, es f\u00e1cil que los criminales exploten esta vulnerabilidad una vez m\u00e1s y que creen un nuevo <em>malware<\/em> con otros pa\u00edses en el punto de mira, causando a\u00fan m\u00e1s da\u00f1o. Independientemente de si vives en China o no, te sugerimos hacer lo siguiente:<\/p>\n<ol>\n<li>No intentes hacer <em>jailbreak<\/em> a tu iPhone. Nunca ha sido seguro hacerlo, como puedes ver, el mismo <em>software<\/em> dice que no es seguro aplicar esta operaci\u00f3n.<\/li>\n<\/ol>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">C\u00f3mo afecta a la seguridad hacer root o jailbreak en tu smartphone <a href=\"http:\/\/t.co\/1xVeA25dZM\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/1xVeA25dZM<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/seguridad?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#seguridad<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/android?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#android<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iPhone?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iPhone<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/341628159772467200?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 3, 2013<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>2. Siempre aconsejamos seguir esta regla en Google Play, pero tambi\u00e9n es aplicable a la App Store: presta atenci\u00f3n a las aplicaciones que instalas. Los creadores de AceDeceiver han comprobado que las revisiones de c\u00f3digos pueden ser evitadas con ciertos trucos. Por desgracia, iOS no permite el <em>software<\/em> de antivirus, as\u00ed que una vez que el <em>malware<\/em> logra introducirse en el sistema, tienes un problema.<\/p>\n<p>3. Afortunadamente, puedes proteger tus otros dispositivos. Aseg\u00farate de contar con buenas soluciones de seguridad. En esta situaci\u00f3n, un <em>software<\/em> de <a href=\"https:\/\/www.kaspersky.es\/advert\/software-antivirus-domestico\/internet-security?redef=1&amp;THRU&amp;reseller=es_kdaily_pro_ona_smm__onl_b2c_kasperskydaily_lnk_______\" target=\"_blank\" rel=\"noopener\">antivirus en este PC<\/a> hubiese podido detectar a Aisi Helper como el malicioso AceDeceiver.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una app store pirata ha enga\u00f1ado a Apple pasando la revisi\u00f3n de su c\u00f3digo y est\u00e1 robando las credenciales de los usuarios a trav\u00e9s del m\u00e9todo de ataque llamado FairPlay Man-in-the-Middle.<\/p>\n","protected":false},"author":696,"featured_media":8049,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6],"tags":[1733,378,28,199,329,17,625,1708,43,1709,586],"class_list":{"0":"post-8047","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-acedeceiver","10":"tag-amenazas","11":"tag-apple","12":"tag-ios","13":"tag-ipad","14":"tag-iphone","15":"tag-man-in-the-middle","16":"tag-mitm","17":"tag-phishing","18":"tag-pira-tas","19":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/acedeceiver-mitm-attack\/8047\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/acedeceiver-mitm-attack\/6920\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/acedeceiver\/","name":"AceDeceiver"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8047","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=8047"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8047\/revisions"}],"predecessor-version":[{"id":21862,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8047\/revisions\/21862"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/8049"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=8047"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=8047"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=8047"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}