Google alerta de diversas vulnerabilidades presentes en iOS

Expertos en seguridad de la división Project Zero de Google han avisado de la existencia de hackers que han estado utilizando sitios web comprometidos para introducir “implantes de monitorización” en los iPhones y iPads.

Aprovechándose de diversas vulnerabilidades presentes en iOS y Safari, los hackers han podido ir contra dispositivos que ejecutan desde las versión 10 hasta la 12 del sistema operativo móvil de Apple, pudiendo acceder a los contactos, las imágenes y otros datos personales. Lo peor es que, según los expertos de Project Zero, las vulnerabilidades estuvieron presentes en iOS y Safari durante hace años y el método para ejecutarlos fue siempre el mismo, que la víctima visitara una página web comprometida.

El investigador de seguridad Ian Beer, miembro de Project Zero, ha explicado en una entrada en el blog oficial del equipo de seguridad cómo el Grupo de Análisis de Amenazas (TAG/Threat Analysis Group) del gigante de Mountain View descubrió a principios de este años una pequeña colección de sitios web hackeados que estaban siendo usados contra usuarios de iOS, principalmente de iPhone al ser de largo el dispositivo móvil de Apple más popular.

Siendo más concretos, Beer ha publicado que “los sitios hackeados estuvieron siendo usados en ataques indiscriminados de tipo abrevadero contra los visitantes, utilizando una vulnerabilidad 0-day presente en el iPhone”. En caso de que el ataque fuera ejecutado con éxito, la víctima terminaba de forma inconsciente con implante de monitorización instalado en su dispositivo.

Los expertos de Google encontraron el nada desdeñable número de 5 cadenas de exploits completas contra iOS que estuvieron siendo explotadas de forma activa, las cuales han sido expuestas por Beer con enlaces adicionales para obtener una información más precisa y pormenorizada de cada uno. Pero probablemente esa información resulte algo difícil de entender para los usuarios comunes, así que lo importante para ellos es que, una vez fueran infectados con éxito, estos exploits tenían la “capacidad de apuntar y monitorizar las actividades privadas de poblaciones enteras en tiempo real.”

Beer avisa de que no existe ningún dispositivo invencible, por mucho que los de Apple tengan muy buena imagen en términos de seguridad. Por otro lado, el nivel de seguridad del usuario no solo depende del dispositivo y el sistema operativo que use, sino que el hecho de ser de alguna etnia o región determinada que está en rivalidad con otra puede ser un factor aumente las posibilidades de ser víctima de algún ciberataque.

Afortunadamente, parece que este asunto ha sido resuelto por las buenas, ya que las relaciones de Project Zero con Microsoft distan mucho de ser las mejores. Apple ha publicado los correspondientes parches de seguridad a principios de este años, poco después de que la división de investigación en seguridad de Google detectara las vulnerabilidades presentes en iOS, así que una actualización estándar del sistema operativo tendría que bastar para arreglar los problemas. Por otro lado, Beer no ha dudado en criticar al fabricante del iPhone diciendo que “los procesos de prueba y verificación deberían haber identificado esta cadena de explotación.”