martes, 23 de junio de 2015

Ingeniería Social (Recolector de Credenciales) a iCloud iOS 8.3 - 9.0 (Bypass & Clon Login Page) / Credential Harvest on iOS

Hace aproximadamente 2 semanas se publicó este articulo en Globb Security el cual indicaba que se habia encontrado un fallo en la App de Mail de iOS, investigué un poco al respecto y decidí adentrarme en los detalles (Github del proyecto), no se trata de un fallo realmente, sino de un metodo de ingeniería social para la obtención de credenciales, al cabo de algunas horas ya tenia corriendo en mi server este proyecto. muy bueno por cierto. 

Ahi no acaba la cosa, luego de hacer pruebas me dí cuenta de que en verdad funciona, edité algunos de los parametros de prueba que el desarrollador puso en el script inicial para evitar multi-visitas y lo hice redundante, osea para testers (habilitando esas mismas multi-visitas), publiqué dentro de uno de los issues que estoy trabajando en el clonado perfecto de la web de iCloud, esto con meros fines didacticos (no se lo especifiqué) y el desarrollador se molestó tanto que decidió cerrar los comments. No importa, casi lo logro...

Por el momento debido a que he estado trabajando arduamente con Pimp My Kali, no le dedico mucho tiempo a este proyecto, pero apenas teniendo algo de tiempo veremos de que manera aplicarlo y re-evolucionarlo para que funcione de distintas maneras. 

Aquí una captura del trabajo de alguno de los desarrolladores.

iOS Mail-Inject



 Video Demostrativo de la App-Mail

Subiendo a mi repo los archivos... por si cae el original.

0 comentarios:

Publicar un comentario

Proyectos Documentados, Trabajos, Ideas...

Donar

Noize Nación Radio

Click para escuchar

Compartir

Twitter Delicious Facebook Digg Stumbleupon Favorites More

Social...