• Tweet

“Sin trucos, ni infiltraciones y sin agresiones”, sólo un mal diseño del software facilitó un gran ataque por parte de hackers sobre el iPad 3G, mencionó un experto en seguridad.

La recolección de más de 100000 direccciones de correo electrónico no fue un ataque clásico hacia los datos, aún así éste irrumpió en algunas características de menor importancia que AT&T ofrece a los clientes de Apple, declaró un experto el pasado miércoles.

De acuerdo a Praetorian Security Group, quién obtuvo una copia del script PHP utilizado para limpiar las direcciones de correo electrónico en los servidores de AT&T, el ataque se perpetró debido a que el operador de telefonía móvil utiliza un software mal diseñado.

Un grupo hacking de nueve personas conocido como Goatse Security se atribuyó la responsabilidad por ese script, que obtuvo 114000 direcciones de correo electrónco.

“No hay truco alguno, ni infiltraciones y sin transgresión, sólo un mal diseño de la aplicación Web que regresa la dirección de correo electrónico cuando un ICC-ID es enviada a éste,” comenta Praetorian el pasado miércoles en una entrada de blog de seguridad.

Un ICC-ID (Identificador Internacional de la Tarjeta de Circuitos ) es el único número asignado a cada tarjeta SIM. Una tarjeta SIM de un dispositivo móvil almacena información que identifica la red móvil específica del usuario. El iPad 3G contiene una tarjeta SIM.

AT&T confirmó la naturaleza del ataque al blog de tecnología Gizmodo. Gawker fue el primero en reportar el correo del incidente del miércoles.

El script de Praetorian hizo publico que fue un “ataque de fuerza brutal,” de acuerdo al jefe de seguridad en AT&T Ed Amoroso, quién hablo con Gizmodo.

Cuando los propietarios de iPad 3G contrataron el servicio de datos inalambrico con AT&T, la compañía detectó los 19 dígitos ICC-ID de la tarjeta SIM – escencialmente un número de serie – posteriormente pregunta por una dirección de correo electrónico de sus contactos. AT&T utiliza las direcciones de correo electrónico para llenar uno de los dos campos en la configuración de pantalla del iPad, en donde el usuario tiene que ingresar solamente una contraseña para comprobar su estado de cuenta.

Esa misma dirección de correo electrónico fue lo que obtuvo el script. Aparentemente las direcciones de correo electrónico pertenecen al alcalde de Nueva York Michael Bloomberg, así como a altos ejecutivos del Dow Jones, a la compañía The new York Times, y Time Warner.

AT&T ha desactivado el acceso a la función, y pidió disculpas a los clientes en un comunicado que emitió el miércoles. También dijo que el correo electrónico sólo se refiere a vínculos entre cada ICC-ID,la información financiera u otros datos personales no han sido tomados de sus servidores.

AT&T no respondió a preguntas para más comentarios el pasado miércoles.

La divulgación de direcciones de correo electrónico de propietarios de un iPad fue la segunda historia descorcentante relacionada con Apple publicada por Gawker Media desde abril.

Hace dos meses, Gizmodo publicó fotografías y el análisis de un protipo de iPhone, que había comprado un hombre de California quién lo encontró en un bar.