Con una simple web y un fallo de seguridad 0-day, que Apple no había detectado, robar información de todo tipo a cualquier iPhone 5s o superior fue durante mucho tiempo algo realmente sencillo. Así lo demuestran los documentos que Google ha publicado.
Robar información de todo tipo de un iPhone nunca fue tan sencillo
Google ha publicado una serie de documentos técnicos donde describen cómo de sencillo era (y es si aún no actualizaste) robar información de cualquier iPhone sin excepción a partir del modelo 5s o superior. Bastaba una web con un código concreto y un fallo de seguridad 0-day que Apple no llegó a detectar nunca. No hasta que Google la informó de un total de 14 fallos de seguridad durante pasado mes de febrero.
Debido a ese fallo de seguridad, numerosas páginas webs estaban robando información d e todo tipo de losteléfonos de Apple. Datos de localización, fotografías e incluso mensajes de aplicaciones que incluso aplicaban un sistema de cifrado como Telegram, WhatsApp, etc.
Aquí toda la información técnica, por si tienes los conocimientos e interés en concer los exploits al detalle.
El proceso no requería además ningún tipo de acción por parte del usuario, simplemente se visitaba una web con el código que permitía inyectar un malware que se instalaba en el terminal. Una vez hecho, el atacante podía acceder a toda esa información y enviarla en tiempo real al servidor que quisiera.
Demo de una de los exploits utilizados que permite hacer jailbreak de forma remota. Lo encontró @S0rryMybad y con el ganó 200.000 dólares en una competición (vídeo vía https://t.co/26xQWrNIxJ) pic.twitter.com/eqt0iIT56b
— @mcontreras ?☠️ (@mcontreras) August 30, 2019
Por suerte, el malware no era persistente y en cuanto se reiniciaba el dispositivo quedaba eliminado. Pero a tenor de lo “fácil” que resultaba era todo un peligro. Ahora ya está resuelto, lleva meses de hecho, con la actualización de urgencia que Apple lanzó el 7 de febrero (la versión de iOS 12.1.14).
La importancia de actualizar y el beneficio de los 0-day para quien los encuentra
Tras conocer esta noticia vuelve a quedar claro lo importante que es mantener actualizados los equipos, sean cuales sean, a su última versión de software disponible. Porque más allá de conspiraciones acerca de la obsolescencia programada y cómo van afectando al rendimiento para obligar a actualizar, estos updates sirven para solucionar problemas de seguridad como estos. Y en especial los que son fallos de seguridad 0-day.
Estos fallos 0-day son problemas que están desde el primer día en el software y que el fabricante no quien lo desarrolla no conoce. Y claro, suponen un problema importante pues permiten hackear dispositivos para todo tipo de fines, en especial los que afectan a la privacidad del usuario.
Detectarlos es importante para la empresa afectada, aunque también es interesante descubrirlo pues la mayoría de grandes tecnológicas pagan mucho dinero si cualquier experto en seguridad o programador los detectan y avisan para poder solucionarlos. Claro que también hay gobiernos y otras empresas que pagan para poder acceder a eso dispositivos.
Por ello, si recuerdas, Apple en las últimas semanas ha llevado a cabo algunos anuncios referentes a estos temas de seguridad. Es más, ha creado un programa con el que entregará unos iPhone especiales para que expertos en seguridad busquen este tipo de errores. Así podrán poner remedio si es necesario y evitar futuros daños a sus usuarios. Sobre todo ahora que son adalides de la privacidad.