[youtube]http://www.youtube.com/watch?v=uVGiNAs-QbY[/youtube]
Investigadores del instituto alemán Fraunhofer han demostrar En el videoclip de arriba, ¿cómo puedo descubrir las contraseñas cifradas del llavero de un iPhone, incluso si tiene un código de acceso configurado? Todo se hace, por supuesto, aplicando un jailbreak que proporciona acceso a los archivos del sistema del terminal y permite a los investigadores ejecutar un script especial que muestra y descifra las contraseñas en el llavero del dispositivo. Con este método, se pueden obtener contraseñas para cuentas de correo electrónico, puntos de acceso Wi-Fi, correo de voz, VPN o algunas contraseñas de aplicaciones.
Tan pronto como los atacantes toman posesión de un iPhone o iPad y retiran la tarjeta SIM del dispositivo, pueden obtener contraseñas de correo electrónico y códigos de acceso a VPN y WLAN corporativas también", dijeron los investigadores en un comunicado. "El control de una cuenta de correo electrónico permite al atacante adquirir aún más contraseñas adicionales: para muchos servicios web, como las redes sociales, el atacante sólo tiene que solicitar una pasarotercer reinicio.
Este método obras sólo para contraseñas del llavero, almacenadas en el sistema del dispositivo, pero no funciona para contraseñas de otras tarjetas de seguridad ubicadas en el terminal. Sin jailbreak, no es posible ejecutar el script que descifra las contraseñas, por lo que, en teoría, un iPhone sin jailbreak no podría estar sujeto a tal ataque. Desafortunadamente, este ataque demuestra una vez más lo vulnerables que son los iDevices después de un jailbreak y esto podría ser un punto de partida para Apple en la lucha contra el jailbreak.
Por lo tanto, el propietario de un dispositivo iOS perdido o robado debe iniciar inmediatamente un cambio de todas las contraseñas almacenadas", afirma Fraunhofer SIT. "Además, esto también debería hacerse para cuentas no almacenadas en el dispositivo pero que podrían tener contraseñas iguales o similares, ya que un atacante podría probar contraseñas reveladas con la lista completa de cuentas conocidas.
