Ataque a dispositivos iOS y Android roba claves criptográficas secretas

El ataque a dispositivos iOS y Android roba claves criptográficas usadas para la protección de billeteras Bitcoin y Apple Pay, entre otras

Investigadores han desvelado un ataque a dispositivos iOS y Android que exitosamente roba claves criptográficas usadas para la protección de billeteras Bitcoin, cuentas de Apple Pay, y otros activos de alto valor.

El “exploit” es lo que criptógrafos llaman un ataque por canal lateral no invasivo. Funciona en contra de la Algoritmo de Firma Curva Elíptica Digital, un sistema de cifrado que se utiliza ampliamente porque es más rápido que muchos otros sistemas criptográficos. Mediante la colocación de una sonda cerca de un dispositivo móvil mientras se llevan a cabo operaciones criptográficas, un atacante puede medir suficientes emanaciones electromagnéticas para extraer completamente la clave secreta que autentica los datos del usuario final o transacciones financieras. Lo mismo se puede hacer utilizando un adaptador conectado al cable de carga USB.

Si bien los investigadores no llegaron a extraer completamente la clave en un smartphone Sony-Ericsson Xperia X10 con Android, aseguraron que creen que un ataque de ese tipo es factible. También citaron la investigación publicada recientemente por un equipo independiente que encontró una vulnerabilidad de canal lateral similar en la versión de Android de la biblioteca de criptografía BouncyCastle.

Las versiones anteriores de iOS, específicamente, de la 7.1.2 a la 8.3, parecen ser vulnerables. La actual versión iOS 9 no parece ser vulnerable, ya que añade defensas contra ataques de canal lateral. Sin embargo, incluso los usuarios de versiones actuales de iOS todavía están en riesgo a la hora de utilizar aplicaciones vulnerables.

ataque-dispositivos-ios-android-roba-claves-criptograficas-2

Bitcoin Core es una de las apps iOS vulnerables a estos ataques de hackers

Una de estas apps vulnerables en iOS es Bitcoin Core, que se utiliza para proteger las carteras Bitcoin en iPhones y iPads. Debido a que utiliza su propia implementación criptográfica en lugar de la biblioteca iOS CommonCrypto, es vulnerable al ataque de extracción de clave. Los desarrolladores de Bitcoin comentaron a los investigadores que planean reemplazar su biblioteca de criptografía actual con una que no sea susceptible al ataque. La última versión de Bitcoin Core, por su parte, no es vulnerable.

ataque-dispositivos-ios-android-roba-claves-criptograficas-3

Por el momento, el ataque requeriría que el hacker tuviera en su poder al menos un cable o sonda en estrecha proximidad física a un dispositivo móvil vulnerable mientras lleva a cabo las operaciones necesarias para el proceso de extracción o robo de las claves encriptadas en el mismo.

El ataque a dispositivos iOS y Android roba claves criptográficas usadas para la protección de billeteras Bitcoin y Apple Pay, entre otras

Investigadores han desvelado un ataque a dispositivos iOS y Android que exitosamente roba claves criptográficas usadas para la protección de billeteras Bitcoin, cuentas de Apple Pay, y otros activos de alto valor.

El “exploit” es lo que criptógrafos llaman un ataque por canal lateral no invasivo. Funciona en contra de la Algoritmo de Firma Curva Elíptica Digital, un sistema de cifrado que se utiliza ampliamente porque es más rápido que muchos otros sistemas criptográficos. Mediante la colocación de una sonda cerca de un dispositivo móvil mientras se llevan a cabo operaciones criptográficas, un atacante puede medir suficientes emanaciones electromagnéticas para extraer completamente la clave secreta que autentica los datos del usuario final o transacciones financieras. Lo mismo se puede hacer utilizando un adaptador conectado al cable de carga USB.

Si bien los investigadores no llegaron a extraer completamente la clave en un smartphone Sony-Ericsson Xperia X10 con Android, aseguraron que creen que un ataque de ese tipo es factible. También citaron la investigación publicada recientemente por un equipo independiente que encontró una vulnerabilidad de canal lateral similar en la versión de Android de la biblioteca de criptografía BouncyCastle.

Las versiones anteriores de iOS, específicamente, de la 7.1.2 a la 8.3, parecen ser vulnerables. La actual versión iOS 9 no parece ser vulnerable, ya que añade defensas contra ataques de canal lateral. Sin embargo, incluso los usuarios de versiones actuales de iOS todavía están en riesgo a la hora de utilizar aplicaciones vulnerables.

ataque-dispositivos-ios-android-roba-claves-criptograficas-2

Bitcoin Core es una de las apps iOS vulnerables a estos ataques de hackers

Una de estas apps vulnerables en iOS es Bitcoin Core, que se utiliza para proteger las carteras Bitcoin en iPhones y iPads. Debido a que utiliza su propia implementación criptográfica en lugar de la biblioteca iOS CommonCrypto, es vulnerable al ataque de extracción de clave. Los desarrolladores de Bitcoin comentaron a los investigadores que planean reemplazar su biblioteca de criptografía actual con una que no sea susceptible al ataque. La última versión de Bitcoin Core, por su parte, no es vulnerable.

ataque-dispositivos-ios-android-roba-claves-criptograficas-3

Por el momento, el ataque requeriría que el hacker tuviera en su poder al menos un cable o sonda en estrecha proximidad física a un dispositivo móvil vulnerable mientras lleva a cabo las operaciones necesarias para el proceso de extracción o robo de las claves encriptadas en el mismo.

Lluís
Lluíshttps://www.soloapp.es
Con muchas ganas de aprender lo que aún no he aprendido...Intento ver el lado positivo de las cosas y compartir todo lo relacionado con el mundo de Apple con todos vosotros

Más del autor

Artículos relacionados

Advertismentspot_img

Últimas noticias

La Evolución de los Power Bank: El Mejor Aliado para tus Dispositivos Inteligentes

En el vertiginoso mundo de la tecnología móvil, una cosa es segura: la necesidad de mantener nuestros dispositivos cargados y listos para usar en...

WhatsApp Introduce la Función de Mensajes Anclados: Inspirada por Telegram y Mejorada por Meta

En un movimiento que sigue de cerca la innovación de su competidor Telegram, WhatsApp, propiedad de Meta, ha anunciado la introducción de una característica...

No te compres el iPhone 15, el iPhone 12 es tu mejor opción

Apple ha lanzado su último buque insignia, el iPhone 15, pero ¿es la elección obvia para todos? A veces, optar por una generación anterior,...

No te pierdas más noticias interesantes

Si quieres estar a la última en tecnología, no te lo pienses más y suscríbete a nuestra newsletter.