Google descubre 6 fallos en iOS que permiten a los atacantes tomar el control de los iPhone y iPad

Siempre existirán fallos y puertas traseras que pueden aprovecharse para hacer el mal. Hay equipos que se dedican a buscarlos y reportarlos, como el equipo “Project Zero” de Google.

Project Zero. Este grupo de Google está formado por investigadores de seguridad que analizan los principales sistemas operativos y software del mercado en busca de vulnerabilidades, incluyendo Chrome o Android, pero también iOS y Windows, ya que hay programas y apps suyos que funcionan en esos sistemas. Ahora, han descubierto graves vulnerabilidades en iOS, y una de ellas no está todavía arreglada.

Cuando los investigadores encuentran una vulnerabilidad, en la comunidad se tiene establecido un periodo de cortesía de 90 días para que la compañía lo parchee. Pasado ese tiempo, los investigadores suelen publicar la existencia de la vulnerabilidad, esté o no parcheada, y forzando a que la compañía lo arregle en el caso de que no lo hayan hecho.

Las vulnerabilidades encontradas en esta ocasión afectan a iOS. En total, hay seis de ellas del tipo «interacción cero», las cuales permiten a un atacante tomar el control del móvil sin que el usuario tenga que hacer nada más que recibir un mensaje a través de iMessage y abrirlo, donde el código malicioso pasará a ejecutarse. Apple ha arreglado cinco de estas vulnerabilidades en iOS 12.4, pero la sexta de ellas todavía no está arreglada.

Cuatro de las vulnerabilidades permiten ejecutar código malicioso de manera remota en iPhone o iPad, y las otras dos permiten leer información de la memoria del dispositivo y extraer archivos de la memoria interna.

Aunque Apple ha intentado solucionar las seis vulnerabilidades, hay una de ellas con la que no lo han conseguido de momento. Este es el motivo por el que Google ha decidido mantenerla privada, ya que, si la publicasen, todos los cientos de millones de dispositivos con iOS de la compañía serían hackeables. Los detalles técnicos de las otras cinco vulnerabilidades serán anunciados en la conferencia Black Hat de Las Vegas que tendrá lugar entre el 3 y 6 de agosto.

Una vulnerabilidad de este calibre es bastante peligrosa en iOS. La mayoría de vulnerabilidades de iOS y macOS funcionan engañando a los usuarios y haciéndoles que ejecuten una aplicación que cuente con permisos que no debería tener. Otras buscan obtener las credenciales de Apple ID. En ambos casos se requiere interacción del usuario, pero ahora tan sólo es necesario recibir un mensaje por SMS, MMS, iMessage o correo electrónico.

RSS
Facebook
Facebook