Investigadores de Google revelan información sobre varios exploits graves para iOS

Cuando hablamos de problemas de seguridad en dispositivos móviles como smartphones o tabletas, casi todo el mundo suele pensar en dispositivos Android más que en iOS. Se tiene la percepción de que Android es más inseguro cuando, en muchos casos, todo se limita a un tema de cantidades de dispositivos en funcionamiento y fragmentación del sistema operativo usado. Sin embargo, aunque en menor cantidad, también existen peligrosas vulnerabilidades en iOS que, de ser aprovechadas por los atacantes, podrían poner en serios problemas a millones de dispositivos con este sistema.

Cinco exploits solucionados…

Durante estos últimos días hemos visto aparecer una importante actualización de seguridad para algunos dispositivos fabricados por Apple. La versión 12.4 de iOS publicada el pasado 22 de julio solucionaba los agujeros de seguridad que aprovechaban hasta cinco exploits que habían sido mostrados como pruebas de concepto por investigadores de la división de seguridad Project Zero de Google.

Concretamente, fueron los investigadores Samuel Groß and Natalie Silvanovich quienes informaron a Apple de las vulnerabilidades y, tras un periodo prudencial que Google establece en 90 días para que se apliquen los debidos parches de seguridad, estas fueron reveladas. La actualización a la última versión disponible de iOS protege frente a posibles ataques que se basen en estas vulnerabilidades por lo que su instalación es altamente recomendada.

Una de las características importantes de algunos de estos exploits es que no requieren de interacción alguna del usuario para poder ejecutarse en los terminales vulnerables. Este escenario es especialmente peligroso puesto que el dispositivo tan solo tendría que recibir un mensaje especialmente preparado a través de la aplicación iMessage.

…y otro aun por solucionar

Sin embargo, y a pesar de haber solucionado los fallos de seguridad que permitían la ejecución de los exploits que acabamos de mencionar, los investigadores de Google no han revelado los detalles pertenecientes a otra vulnerabilidad, asignada al código CVE-2019-8646. Este fallo permitiría a un atacante acceder remotamente a los archivos almacenados en los dispositivos de la víctima también mediante el envío de un mensaje a través de iMessage especialmente preparado.

Esto significa que, aun con la última versión de iOS disponible instalada en nuestro terminal, este no se encuentra completamente actualizado frente a posibles ataques conocidos a través de iMessage. No obstante, es muy probable que Apple ya esté trabajando en un nuevo parche basándose en la información proporcionada por el equipo Project Zero de Google.

Aquellos que deseen obtener más información acerca de estas vulnerabilidades y exploits tienen una cita obligada el próximo miércoles 7 de agosto en la charla que la investigadora Natalie Silvanovich dará en la conferencia de seguridad Blackhat USA 2019 en Las Vegas.

Conclusión

Como acabamos de ver, Apple tampoco se libra de graves fallos de seguridad que pueden ser aprovechados por atacantes sin interacción por parte del usuario. No obstante, el hecho de que los dispositivos iOS tengan una elevada tasa de instalación de las versiones más recientes de su sistema operativo y que Google haya mantenido en secreto los detalles de la vulnerabilidad que queda por parchear, limita bastante el alcance de un posible ataque.

Aun así, nunca debemos confiarnos por utilizar uno u otro sistema en nuestros dispositivos y debemos mantenerlos actualizados siempre que podamos, descargando e instalando aplicaciones solo desde mercados oficiales y evitando pulsar sobre enlaces sospechosos incluidos en mensajes que no hayamos solicitado.

Josep Albors

Alertan sobre posibles ciberataques a pequeñas aeronaves