(Seguridad) Cuidado con el clon chino del iPad, el ePad – espía
Averiguando sobre algún dispositivo parecido al iPad, recurrí sobre información de los dispositivos imitados hechos por los chinos. Sin embargo, me di con la ingrata sorpresa de que al parecer aparte de ser dispositivos muy baratos, no es lo que parece, pues incluyen software espía que envía nuestra información a sitios web chinos.
Quizás parezca muy paranoico al generalizar y decir que todos los dispositivos chinos incluyen dichos software, pero aquí va un ejemplo sobre el ePad. En el blog de Luis Argente Castro, quien posee un ePad chino, menciona que ha denunciado a un sitio chino por realizar la recolección ilegal de datos de los usuarios del ePad.
Para ello se analizó el tráfico de la red WiFi a través de Ethereal, monitorizando el tráfico a pesar de no utilizarlo (algo andaba mal lo que hizo que él sospechase) para ver los paquetes TCP/IP que van y vienen, y el resultado es el siguiente:
Su ePad tiene IP asignada 192.168.1.84 (local) la cual está haciendo una consulta DNS que luego por la puerta de enlace 192.168.1.1 hacia el dominio http://o93472334.sooot.cn y si accedemos a dicho sitio veremos algo así:
El sitio muestra un formulario de acceso y además de ello es vulnerable a ataques de inyección SQL. Si ingresamos cualquier nombre nos mostrará error de acceso:
Login name or password is incorrect
Especulo que está utilizando el siguiente código SQL dentro del sitio:
SELECT username FROM users WHERE username = '$elusuario';
Si en $elusuario se acepta lo que ingresamos sin filtrar símbolos que permiten inyección del lado del servidor, entonces podemos hacer lo siguiente que es válido para consultas SQL:
SELECT username FROM users WHERE username = 'lo que sea' or 'x'='x';
Aquí se acepta ya sea el nombre del usuario existente que como no sabemos y colocamos lo que sea, la respuesta será no afirmativa, pero dando la alternativa OR donde x=x entonces sí será afirmativa, por tanto la respuesta a todo es que sí podremos acceder ya que de todas maneras resultará afirmativa. Para ello, ingresamos lo que sea’ or ‘x’=’x lo cual irá dentro de los apóstrofos (where username = ‘<aquí>’;) completando la consulta de ejemplo arriba mencionado.
Bueno, basta de detalles (lapsus), con ello hemos accedido al sitio web y ya podremos ver lo que esconde.
Traducido sería:
Este es el resultado, podemos ver en un menú desplegable la información que se encuentra almacenada. Si elegimos SMS y presionamos el botón, podremos visualizar los SMS que están siendo enviados a través de el ePad.
Además de ello, parece que el formulario de acceso sólo oculta este último formulario, ya que se puede acceder a los enlaces directos de dicha web:
- IMAGE : ID de la imagen, Título, Fabricante del equipo, Modelo del CHIP, EXIF original, tiempo de exposición, tabla de luminancia, tabla de chromaticity.
- MMS : Origen, Destino, Texto, e ID de la imagen
- PHONE : detalles sobre el servicio y el dispositivo: Operador, Modelo, IP, País
- PROFITS : Incluye: Número telefónico, lista hasta 10 aplicaciones que se estuvo utilizando
- RING : llamadas que se realiza, incluye el número de destino, la fecha, duración, ID de la antena, posición GPS!!!!! , latitud
- SMS : los SMS que se envían, incluye Origen, Destino y Mensaje
- WEB_LINK : Los sitios web que se visitan, se puede ver los números más la URL
SMS almacenados
Como pueden apreciar, todos esos datos están siendo enviados a dicho sitio, y resulta muy alarmante, ya que no sabemos si otros dispositivos chinos hacen lo mismo, aunque conociendo el afán de los chinos para espiar a todo mundo es de suponer que muchos de los demás dispositivos realizan esas prácticas anti éticas.
Finalmente, hagamos de conocimiento de esto que está ocurriendo y mucha gente no lo sabe o ignora la cantidad de datos que está siendo recabado sin su autorización. Quién sabe, hay muchas personas que puedan estar compartiendo datos confidenciales como cuentas bancarias, contraseñas empresariales, etc.
Podemos denunciar tales prácticas de delito informático aquí
Entradas
