Google saca a la luz el fallo más grande en la seguridad del iPhone
El grupo de análisis de amenazas de Google (TAG) advirtió que varias páginas web han estado atacando a los usuarios de iPhone durante casi dos años al explotar 14 vulnerabilidades presentes en el sistema operativo móvil de Apple, iOS.
En una publicación del blog Project Zero, el experto Ian Beer explica que los atacantes «han hecho un esfuerzo constante para hackear a los usuarios de iPhones en diversas comunidades durante un período de al menos dos años».
El ataque no fue dirigido, pero afectó a quienes accedieron a cualquiera de las páginas pirateadas.
Si tuvo éxito, instaló un programa capaz de monitorear el uso del dispositivo. Según las estimaciones de TAG, estos sitios recibieron «miles de visitantes por semana».
Es un ataque de tipo ‘watering hole’, una estrategia en la que los atacantes observan sitios web visitados por un grupo de víctimas e infectan a uno de ellos con ‘malware’, lo que los infecta.
El equipo descubrió 14 vulnerabilidades que fueron explotadas por los atacantes: siete desde el navegador web del iPhone, cinco en el núcleo y dos ‘sandbox’, un aislamiento de los procesos utilizados por el sistema para ejecutar programas, que permiten que se ingrese código malicioso en un dispositivo desde fuera.
Esto afectaba a dispositivos con versiones de iOS 10 a iOS 12.
Una vez en el dispositivo, el programa malicioso se dedicó a compartir información de ubicación en tiempo real y obtener documentos almacenados en el teléfono. Según Beer, pudo acceder a aplicaciones encriptadas como WhatsAp.
Beer afirma que Google comunicó esta situación a Apple el 1 de febrero de 2019, estableciendo un plazo de una semana para resolver el problema, que coincidió con el lanzamiento de iOS 12.1.4.
Apple lanzó un parche para corregir la vulnerabilidad el 7 de febrero, un hecho que hizo público a través de su sitio web.
Google saca a la luz el fallo más grande en la seguridad del iPhone
