Expertos muestran cómo controlar un iPhone ajeno

Dos expertos en seguridad han demostrado cómo se puede irrumpir en un iPhone sólo enviando mensajes SMS. Collin Mulliner y Charlie Miller hicieron la demostración en la Black Hat Security Conference que se está llevando a cabo en Las Vegas.

La vulnerabilidad permite a los atacantes tomar control casi total del teléfono, permitiéndoles realizar llamadas, enviar mensajes de texto y acceder a los datos guardados, micrófono, cámara, buscador, etc. Los delincuentes también pueden dejar el teléfono inoperable, si así lo desean.

El ataque aprovecha una falla en la forma en la que el iPhone maneja la memoria de los SMS. Para explotarla, los delincuentes envían SMS especiales a sus víctimas, que no pueden detectar a simple vista que el mensaje contiene un código nocivo y sólo reciben un mensaje con un cuadrado.

Los conferencistas realizaron el ataque con la ayuda de Elinor Mills, analista de seguridad de la empresa Independent Security Evaluators, que prestó su iPhone para la demostración.

“Esto es lo que pasó: mientras hablaba por teléfono con Charlie Miller, su compañero, Collin Mulliner, me envió un mensaje de texto desde su teléfono. Estaba hablando con Miller por un minuto y al minuto siguiente mi teléfono no funcionaba, y esta vez no es culpa de AT&T. Después de unos segundos volvió a funcionar, pero no pude realizar o recibir llamadas hasta que lo reinicié”, explicó Mills.

Mulliner y Miller dijeron que habían alertado a Apple sobre el problema hace algunas semanas, y afirmaron que la información que compartieron en la charla era suficiente para que los usuarios maliciosos descubran la vulnerabilidad y comiencen a explotarla en alrededor de dos semanas.

Unas 4.000 personas interesadas en el tema (para bien o para mal) asistieron a la charla. Los conferencistas defendieron su decisión de divulgar los datos de la vulnerabilidad en público. “Si no hablamos de él [ataque], alguien más lo realizará en silencio. Los atacantes lo harán de cualquier modo”, dijo Mulliner.