Sí, siento que Shellshock podría ser una amenaza mayor. Si bien Heartbleed podría usarse para hacer cosas como robar contraseñas de un servidor, Shellshock puede usarse para hacerse cargo de toda la máquina. Y Heartbleed pasó desapercibido durante dos años y afectó a unas 500,000 máquinas, pero Shellshock no se descubrió en 22 años.
Los teléfonos Android son mucho más vulnerables que los iPhone, supongo.
Editar: ver abajo la publicación de FortiGuard Labs …
Observar los dispositivos liberados / enraizados de nuestro laboratorio nos muestra que tanto Cydia como Cyanogen vinieron con un paquete Bourne Again Shell (también conocido como Bash).
Fig 1. Paquete Bash en Cydia en iPhone (iOS 7): tenga en cuenta que esta es la versión parcheada
Lo que trae un primer punto: si el software de terceros para dispositivos liberados / enraizados instala Bash, significa que es muy probable que Bash no esté presente en dispositivos estándar.
Conclusión: los iPhone / iPad sin jailbreak y los dispositivos Android no rooteados no son vulnerables a Shellshock.
¿Qué pasa con los dispositivos liberados / rooteados? Una prueba rápida con aplicaciones de terminal muestra que sí venían con una versión vulnerable de Bash. Por ejemplo:
Fig 2. Bash en iPhone 5 con jailbreak ejecutado en iOS 7
Otras pruebas muestran que incluso es posible, en teoría, explotar la vulnerabilidad para generar un shell de conexión inversa:
Fig. 3. Generando un shell de conexión inversa en un iPhone 5 con jailbreak con iOS 7
Fig. 4. Generar un shell de conexión inversa en Android rooteado
En el “lado receptor” del shell (computadora Linux de laboratorio que ejecuta netcat en modo de escucha):
Fig 5. Shell controla remotamente el iPhone 5 con jailbreak
Fig. 6. Shell controla de forma remota un Android rooteado
¿Eso significa que los dispositivos son vulnerables a los ataques que explotan el error Shellshock? No exactamente. Para que un ataque tenga éxito, se deben cumplir dos condiciones:
- ¿Por qué Nokia se vendió a Microsoft cuando podría haber desarrollado la serie Lumia mucho mejor?
- ¿Es el Samsung Galaxy Note 3 Neo bueno en 28k?
- ¿Cuál es el mejor reproductor de música local para Android?
- ¿Cuáles son las principales fallas en el sistema operativo Android que inhiben su crecimiento?
- ¿Qué hay de nuevo en Android Lollipop?
- 1) El objetivo debe incrustar una versión vulnerable de Bash
- 2) Debe haber una manera de establecer de forma remota las variables de entorno en el objetivo
Si bien establecimos 1. arriba, todavía tenemos que encontrar una manera de hacer 2. Hacerlo probablemente implicaría aprovechar los paquetes de terceros proporcionados a través de Cydia / CyanogenMod, ya que de forma nativa, Bash no está instalado (por lo tanto, no es necesario).
Si nada prueba que 2. es posible, nada prueba que no lo es. Por lo tanto, los propietarios de dispositivos liberados / rooteados pueden tener precaución e instalar parches para Bash. Al momento de escribir este artículo, una actualización del paquete Bourne Again Shell ya está disponible en Cydia; Recomendamos a los jailbreakers que lo instalen.