1

Se encuentra falla de seguridad en iOS 7

Encuentran problemas en iOS 7.
Encuentran problemas en iOS 7.

Un investigador ha descubierto una debilidad en iOS 7 que podría permitir a un atacante burlar un número de mecanismos que Apple usa para prevenir la explotación del kernel del sistema operativo.

El problema es que se puede forzar un generador de números aleatorios, llamado Early Random PRNG, para predecir sus resultados. El generador es usado para un número importante de predicciones de memoria para equipos iOS.

El PRNG genera números usados por el kernel para diversas medidas de seguridad. Esto previene que los hackers ejecuten ataques que puedan ser usados para tomar el control de un equipo con malware.

Tarjei Mandt, un investigador de seguridad senior de Azimith Security, encontró que el PRNG en iOS 7, la última versión del sistema operativo, es más débil que el usado en iOS 6. En un paper presentado esta semana en CanSecWest, Mandt describió el impacto de saber los resultados del PRNG.

“Recobrar estos resultados permite que un atacante logre superar varios obstáculos, como aquellos diseñados para mitigar técnicas de explotación u otra clase de vulnerabilidades”, dice el paper.

“Es decir, esto podría permitir explotar vulnerabilidades que antes eran imposibles”.

El PRNG es fundamental

Scott Morrison, vice presidente senior e ingeniero distinguido en CA Technologies, llamó el trabajo de Mandt como un “importante descubrimiento”.

“PRNG es fundamental para muchas funciones de seguridad, particularmente aquellas relacionadas a la criptografía”, dijo Morrison. “PRNG es un punto de ataque común porque si es predecible de alguna forma, el sistema de seguridad construido en base a él puede colapsar”.

El generador de números aleatorios en iOS 7 usa un algoritmo llamado el generador linear congruente (LCG), que produce una secuencia de números aleatorios calculados con una ecuación linear. Uno de los generadores más antiguos y más conocido, es usado por ser rápido y fácil de implementar, decía el documento escrito por Mandt.

Si bien estos algoritmos funcionan bien en equipos con recursos limitados, como smartphones, “exhiben defectos severos y se pueden quebrar fácilmente cuando se confrontan con un adversario que puede monitorear los resultados”, escribió Mandt.

Fuente: CIO / Antone Gonsalves / 14-03-14

Conéctese a la actualidad tecnológica e informática cada mañana. ¡Suscríbase gratis a nuestro Newsletter!