Investigadores del Proyecto Cero de Google descubren seis vulnerabilidades en iOS

Dos investigadores de seguridad del Proyecto Cero de Google han descubierto seis vulnerabilidades en iOS, cinco de las cuales fueron parchadas en la última actualización de seguridad de Apple. La mayoría de las fallas descubiertas tienen la particularidad de que no requieren de la interacción del usuario para ser explotadas.

La versión 12.4 de iOS que Apple publicó la semana pasada incluye los parches de las cinco vulnerabilidades descubiertas por Natalie Silvanovich y Samuel Groß, investigadores del programa de Google que se dedica a buscar vulnerabilidades de seguridad para denunciarlas con responsabilidad. De haber sido encontradas por los cibercriminales, estas vulnerabilidades tendrían un valor aproximado de entre 5 y 10 millones de dólares en el mercado negro de Internet, pero las ganancias generadas para los cibercriminales serían aún mayores.

Para infectar a los usuarios mediante estas vulnerabilidades, un atacante debe enviar códigos maliciosos mediante iMessage y, como no requieren de la interacción de los usuarios, sólo se necesita que el usuario abra el mensaje para que el programa malicioso se ejecute. Las vulnerabilidades con estas características están registradas como CVE-2019-8641 (detalles aún no publicados), CVE-2019-8647, CVE-2019-8660 y CVE-2019-8662.

Dos de las seis vulnerabilidades, registradas como CVE-2019-8624 y CVE-2019-8646, permiten a un atacante filtrar datos de la memoria de un dispositivo y leer los archivos de forma remota. Estas vulnerabilidades tampoco requieren de la interacción del usuario para ser explotadas.

No se han publicado los detalles sobre la vulnerabilidad que aún no está parchada para evitar orientar a los cibercriminales sobre las formas de explotarla, pero Silvanovich está preparando una demostración de los exploits para presentar en la conferencia Black Hat que se llevará a cabo la próxima semana en Las Vegas.

“Están circulando rumores sobre ataques a iPhone que no requieren de la interacción del usuario para explotar vulnerabilidades remotas, pero la información disponible sobre los aspectos técnicos de estos ataques en los dispositivos modernos es muy limitada”, dice la descripción de la presentación de Silvanovich. “La presentación explora el ataque remoto y sin interacción a iOS. Discute el potencial de vulnerabilidades en SMS, MMS, Visual Voicemail, iMEssage y Mail, y explica cómo configurar las herramientas para poner a prueba estos tres componentes. También incluye dos ejemplos de vulnerabilidades que se descubrieron usando estos métodos”.

Las vulnerabilidades parchadas ya están descritas en Internet y se está poniendo a disposición de la comunidad algunas pruebas de concepto para comprender su funcionamiento. Por esta razón, es de primordial importancia que los usuarios instalen las actualizaciones 12.4 de iOS lo antes posible.

Fuentes
Google researchers disclose vulnerabilities for ‘interactionless’ iOS attacks • ZDNet
Google discovered several iPhone security flaws, and Apple still hasn’t patched one • The Verge
Google researchers discovered serious iOS security flaws • Engadget

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *