Google revela los principales defectos de seguridad del iPhone que permiten a los sitios web hackear teléfonos
Ilustración por Alex Castro / The Verge
Los investigadores de seguridad que trabajan en el equipo de Google Project Zero dicen que han descubierto una serie de sitios web hackeados que utilizaron defectos de seguridad previamente no revelados para atacar indiscriminadamente cualquier iPhone que los visitó. Motherboard informa que el ataque podría ser uno de los más grandes jamás llevado a cabo contra los usuarios de iPhone. Si un usuario visita uno de los sitios web maliciosos utilizando un dispositivo vulnerable, entonces sus archivos personales, mensajes y datos de ubicación en tiempo real podrían verse comprometidos. Después de reportar sus hallazgos a Apple, el fabricante del iPhone parcheó las vulnerabilidades a principios de este año.
Motherboard señala que el ataque podría haber permitido a los sitios instalar un implante con acceso al llavero de un iPhone. Esto habría dado a los atacantes acceso a cualquier credencial o certificado contenido en él, y también podría permitirles acceder a las bases de datos de aplicaciones de mensajería aparentemente seguras como WhatsApp e iMessage. A pesar de estas aplicaciones que utilizan el cifrado de extremo a extremo para la transferencia de mensajes, si un dispositivo final se vio comprometido por este ataque, entonces un atacante podría acceder a los mensajes cifrados previamente en texto sin formato.
El ataque es notable debido a lo indiscriminado que es. La placa base señala que otros ataques suelen ser más dirigidos, con enlaces individuales que se envían a los objetivos. En este caso, simplemente visitar un sitio malicioso podría ser suficiente para ser atacado, y para que un implante se instale en un dispositivo. Los investigadores estiman que los sitios comprometidos fueron visitados por miles de visitantes cada semana.
El implante instalado por los sitios maliciosos sería eliminado si un usuario reinicia su teléfono. Sin embargo, los investigadores dicen que dado que el ataque compromete el llavero de un dispositivo, entonces los atacantes podrían obtener acceso a cualquier token de autenticación que contiene, y estos podrían ser utilizados para mantener el acceso a cuentas y servicios mucho después de que el implante tiene desapareció de un dispositivo comprometido.
En total, los investigadores dicen que descubrieron 14 vulnerabilidades a través de cinco cadenas de exploits diferentes, incluyendo una que no fue parcheada en el momento en que los investigadores lo descubrieron. iOS versiones 10 a 12 fueron todos afectados por las vulnerabilidades, que los investigadores dicen indica que los atacantes estaban tratando de hackear a los usuarios durante al menos dos años.
El equipo dice que se comunicaron con Apple para informar de la vulnerabilidad en febrero, y le dieron a la compañía sólo siete días para parchearla. TechCrunch señala que este es un plazo mucho más corto que el típico plazo de 90 días que suelen dar los investigadores, y probablemente refleja lo graves que son las vulnerabilidades. Apple parcheó las vulnerabilidades con iOS 12.1.4, la misma actualización que corrigió un fallo de seguridad FaceTime importante.
Aunque las vulnerabilidades han sido parcheadas, los investigadores señalan que es probable que haya más por ahí que todavía están por descubrir. “Para esta campaña que hemos visto, casi con toda seguridad hay otras que aún no se han visto”, escriben. Usted puede encontrar todos los detalles de las hazañas en la entrada del blog del investigador.
Contact Information:
Keywords: afds, afdsafds
