Site icon Sophos News

“Problemas en modo avión”: ¿qué pasa si tu teléfono dice que está desconectado pero no lo está?

Los investigadores de la empresa de gestión de dispositivos de Apple Jamf han publicado recientemente un interesante artículo titulado Fake Airplane Mode: A mobile tampering technique to maintain connectivity (Modo avión falso: una técnica de manipulación de móviles para mantener la conectividad).

Empezaremos por las buenas noticias: los trucos descubiertos por Jamf no pueden activarse mágicamente a distancia, por ejemplo, simplemente atrayéndote a un sitio web trampa.

Los atacantes tienen que implantar primero un software fraudulento en tu iPhone para llevar a cabo un ataque de “falso avión”.

La mala noticia, sin embargo, es que los trucos utilizados no son los típicos asociados al malware o al código de exfiltración de datos.

Esto se debe a que el modo “falso avión” no fisgonea ni intenta robar datos privados pertenecientes a otras aplicaciones, sino que funciona simplemente mostrándote lo que esperas ver, es decir, pistas visuales que dan a entender que tu dispositivo está desconectado aunque no lo esté.

Dado que ni siquiera la App Store, el jardín amurallado obligatorio de Apple para las descargas de software, es inmune al malware y a las aplicaciones potencialmente no deseadas puedes imaginar que los ciberdelincuentes podrían encontrar la forma de ocultar la trampa del “falso avión” en aplicaciones de aspecto intachable para superar el proceso de verificación de la App Store.

Lo que ves no es necesariamente lo que tienes

Como explican los investigadores de Jamf, la mayoría de los usuarios a los que les preocupa no solo desconectarse temporalmente, sino también comprobar que realmente están desconectados de Internet, hacen algo como esto:

En este punto, un usuario bien informado se inclinaría a aceptar no solo que ha activado el modo avión, sino también que ha conseguido desconectar de Internet las aplicaciones de su teléfono.

Por desgracia, los programadores de Jamf encontraron una serie de trucos para separar la apariencia de la realidad.

En primer lugar, descubrieron cómo interceptar la llamada a la API (interfaz de programación de aplicaciones) que se activa al tocar el icono del avión en la pantalla del Centro de Control.

De este modo, el cambio aparente al modo avión quedaba registrado en los registros del iPhone, pero la llamada real al sistema para desactivarlo en la vida real era secuestrada para desactivar el Wi-Fi pero no la red móvil, dejando una vía inesperada fuera del teléfono para cualquier aplicación autorizada a utilizar datos móviles.

En segundo lugar, reconfiguraron tu navegador (utilizaron Safari en sus pruebas, pero suponemos que otras aplicaciones, incluidos navegadores alternativos, podrían ser engañadas del mismo modo) para que solo la aplicación, y no todo el dispositivo, quedara bloqueada para utilizar conexiones de datos móviles.

En teoría, la pillería de cortar el acceso a Internet a una app concreta en lugar de a todo el teléfono debería ser obvia, porque un usuario bien informado vería una advertencia completamente distinta al intentar navegar a una página conocida:

Esta notificación implica claramente que los datos móviles están activados en general, pero desactivados específicamente para Safari, en contraste con la advertencia mostrada anteriormente, donde se menciona explícitamente el modo avión.

Así que, en tercer lugar, los investigadores averiguaron cómo interceptar el cuadro de diálogo “los datos móviles están desactivados”, y simplemente sustituirlo por la notificación más tranquilizadora “el modo avión está activado”.

La última posible trampa a la que se enfrentaban los investigadores de Jamf era que con el modo avión activado artificialmente en la pantalla del Centro de Control (con lo que el icono del avión se volvía correctamente naranja), el icono de conexión de datos móviles (la piruleta emisora) permanecía sin embargo verde.

Por tanto, en cuarto lugar, los investigadores encontraron una forma de atenuar el icono de datos móviles para dar la falsa impresión de que la opción estaba desactivada, y por tanto, implícitamente apagada, aunque no lo estuviera.

¿Qué hacer?

La buena noticia es que los investigadores solo descubrieron cómo falsear el estado de la conectividad de tu dispositivo cuando los cambios se realizaban a través de la pantalla de deslizamiento hacia arriba del Centro de Control.

Si vas directamente a la página de Ajustes, los trucos esbozados aquí ya no son suficientes, porque el ajuste del Modo Avión, junto con la configuración resultante forzada en tus ajustes de Wi-Fi, Bluetooth y Datos móviles, se puede controlar correctamente y comprobar de forma fiable:

Suponemos que, con el suficiente esfuerzo y con un malware suficientemente potente ya instalado en tu iPhone, un atacante decidido podría ser capaz de interferir incluso en la página de Ajustes, pero el equipo de Jamf no encontró una forma factible de hacerlo en su investigación.

Así que, si alguna vez necesitas utilizar aplicaciones en tu teléfono con la máxima seguridad de que está desconectado de Internet, recuerda que una simple prueba de conexión con el navegador puede no estar diciéndote la verdad.

Compruébalo directamente en la página de Ajustes, en lugar de hacerlo indirectamente a través del Centro de Control o de tu navegador.

Exit mobile version