Lo que a simple vista puede parecer una polémica superficial sobre por qué los cables de Apple son tan caros mientras los que otros fabricantes son tan baratos tiene su traducción en términos de seguridad, y van más allá de la simple protección ante voltajes que pueden resultar dañinos. La prueba más reciente que lo demuestra es el cable que puedes ver en la imagen superior, llamado "O.MG Cable".
Parece un cable Lightning para cargar un iPhone normal y corriente, ¿verdad? Pues nada más lejos de la realidad: este cable tiene un chip oculto en su interior que le permite conectarse a redes Wi-Fi y atacar los iPhone a los que se conecte. La miniaturización de la tecnología ha llegado a tal punto que incluso los cables pueden conectarse a las redes inalámbricas sin que te des cuenta.
Phishing y malware a través de un "inofensivo" cable no oficial
You like wifi in your malicious USB cables?
— _MG_ (@_MG_) 10 de febrero de 2019
The O•MG cable
(Offensive MG kit)https://t.co/Pkv9pQrmHt
This was a fun way to pick up a bunch of new skills.
Not possible without help from: @d3d0c3d, @cnlohr, @IanColdwater, @hook_s3c, @exploit_agency #OMGCable pic.twitter.com/isQfMKHYQR
La idea de este cable con conexión Wi-Fi oculta es la siguiente: alguien le ofrece este cable a una víctima, que lo conecta a uno de los puertos USB del Mac. Es entonces cuando el cable se conecta a la red inalámbrica, y el atacante puede acceder a el remotamente a través de una web que puede abrir desde cualquier otro dispositivo.
Desde esa misma web, el cable puede hacer acciones como abrir una página web con un ataque tipo phishing (en el vídeo puedes ver cómo abre una dirección IP que contiene una imitación de la web de Gmail para que inicies sesión escribiendo tu contraseña). El ataque se ha consumado: la web de phishing ya se ha quedado con tu contraseña de Google y el cable también puede haber aprovechado la ocasión para crear vulnerabilidades en el sistema e introducir otros tipos de ataque.
Aunque es la primera vez que vemos un cable capaz de conectarse a una red Wi-Fi, no estamos hablando de una técnica nueva. El pasado otoño veíamos desde Xataka como los cables podían ocultar chips Bluetooth que también se comunicaban con los dispositivos del atacante, pudiendo así distribuir malware en los ordenadores de las víctimas que utilizaran el cable. El que ahora este tipo de "accesorios maliciosos" tenga la capacidad de conectarse a redes Wi-Fi directamente implica que el alcance de esos ataques es mucho mayor.
Cuidado con aceptar los cables que alguien te ofrezca
La moraleja de esto es clara: tenemos que insistir en que la certificación MFi que Apple impulsa a los fabricantes tiene más sentido que nunca. Lo visto con el ejemplo del O-MG cable es sólo el proyecto personal de un experto que quiere hacernos ver de lo que pueden ser capaces los delincuentes informáticos, pero no hay nada que impida que esos cables puedan ahora empezar a fabricarse por gente con malas intenciones.
Por todos esos motivos, desde Applesfera os queremos recomendar que no aceptéis cables que os ofrezcan desconocidos en momentos puntuales ni que tampoco os fiéis de aquellos cables que no dispongan de la certificación MFi. Tampoco es buena idea utilizar un cable que nos encontremos en algún lugar público. Como dijo Cristian Rus en ese artículo de Xataka que hemos mencionado anteriormente, los cables han dejado de ser accesorios inofensivos.
Ver 20 comentarios