Web Analytics
Conecta con nosotros

Noticias

Apple acusa a Google de mentir sobre las vulnerabilidades descubiertas en iOS

Publicado el
vulnerabilidades de iOS

La semana pasada informamos sobre las vulnerabilidades en iOS descubiertas por los investigadores de Project Zero de Google. Afortunadamente, cuando el asunto vio la luz, Apple había publicado los parches hace meses, por lo que los problemas pueden ser resueltos con una actualización estándar del sistema operativo.

Sin embargo, parece que el proceso de gestión para corregir las vulnerabilidades de iOS no ha sido ni mucho menos idílico, ya que Apple ha acusado mediante una declaración a Google de mentir sobre la situación real de la explotación activa de los fallos de seguridad: “En la publicación de Google, que fue emitida seis meses después de la publicación de los parches, se ha creado la falsa impresión de una ‘explotación masiva’ para monitorear las actividades privadas de poblaciones enteras en tiempo real, avivando el temor entre todos los usuarios de iPhone de que sus dispositivos estaban comprometidos. Eso nunca fue el caso.”

Además de decir que Google exagera, Apple también ha comentado que el gigante tras Android ha dado un dato incorrecto al decir que las vulnerabilidades de iOS fueron explotadas de forma activa durante dos años, diciendo que “todas las evidencias indican que esos ataques mediante sitios web solo estuvieron operativos durante un breve periodo de tiempo de aproximadamente dos meses, no dos años.”

Otra queja que tiene el fabricante del iPhone de los investigadores de Project Zero ha sido la presión que les ha metido para corregir los problemas: “Corregimos las vulnerabilidades en febrero, trabajando muy rápido para resolverlas en solo 10 días tras enterarnos. Cuando Google nos contactó ya estábamos en proceso de corregir los errores explotados.”

Project Zero dijo que había notificado el 1 de febrero de 2019 a Apple sobre la existencia de 14 vulnerabilidades que afectaban a iOS, habiendo publicado los parches la compañía encargada de dicho sistema operativo el día 7 del mismo mes. El gigante de Cupertino dice ahora que era consciente de estos problemas y que su intención era resolverlos en el lanzamiento de iOS 12.1.4.

En informes posteriores se descubrió que las vulnerabilidades estaban siendo explotadas por servicios de seguridad chinos para seguir una cantidad limitada de dispositivos presuntamente pertenecientes a un grupo de uigur, una etnia localizada en el noroeste de China y otros lugares de Asia que practica el Islam como religión mayoritaria. Uniendo este tema con los argumentos de Apple, la compañía ha decidido ignorar los informes de Project Zero y escudarse en que dispositivos Android también fueron objetivo del ansia de control del Gobierno de China.

Lo peor de todo es que lo afirmado por Apple está muy lejos de ser una excusa de “niño chico”, ya que Volexity publicó en septiembre del año pasado la detección de ataques de tipo abrevadero mediante sitios web maliciosos contra dispositivos Android utilizados por la comunidad uigur, los cuales fueron presuntamente llevados a cabo por el Gobierno de China. En algunos casos el mecanismo de ataque ha podido estar en funcionamiento durante al menos cuatro años con el objetivo principal de conseguir acceder de forma fraudulenta a cuentas de Gmail. Posiblemente para evitar el fuego amigo, Project Zero no mencionó que las vulnerabilidades halladas en Android podían ser explotadas de la manera expuesta en este párrafo.

La declaración de Apple no ha gustado nada al equipo Project Zero, que ha decidido responder defendiendo sus hallazgos y la forma en que los divulgó, haciendo hincapié en que su trabajo está orientado en la comprensión técnica de las vulnerabilidades de seguridad para conducir a mejores estrategias defensivas. Como no podía ser de otra forma, respaldó su propio trabajo, a la vez que dijo que seguirán colaborando con Apple y otras compañías.

¿Estamos ante otro enfrentamiento entre Project Zero y un gigante de la computación que no es Google? Hace algunos años Microsoft se quejó de la forma de trabajar de Project Zero, lo que terminó en un pique de descubrimientos de fallos en los productos del gigante de Redmond y Google. Veremos si las acusaciones de Apple de falta de rigor por parte de Project Zero terminan ahí o si bien estamos en la antesala de otro conflicto entre gigantes tecnológicos.

3 comentarios
  • L1ch

    «Talk is cheap, show me the code»
    – Linus Torvalds.

  • Vietar

    Que están en Cupertino un poquito cansados de que cada dos por tres el Project Zero airee sus muchos trapos sucios, y ahora han decidido en vez de agachar la cabeza y admitir el error, erguirla para que sus clientes no piensen que su ecosistema tiene mas agujeros que un campo de golf.

  • Arcangel

    the best comment of the year ha ha ha!
    hold my beer!

Top 5 Cupones

Lo más leído