SEGURIDAD

Google revela fallo de seguridad de Apple que permitió hackear los iPhone durante años

El ataque habilitaba que páginas web instalaran malware en los dispositivos y así se daba acceso a la ubicación, las contraseñas y las fotos del usuario

Teléfono
Foto: Pixabay.com

Investigadores de seguridad del Proyecto Cero de Google revelaron que descubrieron una serie de sitios web hackeados que utilizaban fallas de seguridad para atacar indiscriminadamente a los usuarios de iPhone, cuyo sistema operativo, el iOS, generalmente es considerado muy difícil de ser objeto de ciberataques.

Motherboard informó que el ataque podría ser uno de los más grandes jamás realizados contra los dispositivos de Apple por afectar a miles de usuarios por semana por dos años. Si un usuario visitó uno de los sitios web maliciosos utilizando un dispositivo vulnerable, sus archivos personales, mensajes y datos de ubicación en tiempo real podrían haberse verse comprometidos al descargar una especie de "implante de monitoreo". Después de informar sus hallazgos a Apple, la empresa resolvió las vulnerabilidades a principios de este año.

De acuerdo con los investigadores, el sistema de ataque consistía en que el usuario entraba en la página web hackeada y el atacante podía acceder a su servidor e instalar un sistema de monitorización en su dispositivo que permitía obtener el control absoluto del mismo y con ello el acceso a todos sus datos, inclusive a las bases de datos de aplicaciones de mensajería aparentemente seguras como WhatsApp e iMessage. A pesar de que estas aplicaciones utilizan cifrado de extremo a extremo para la transferencia de mensajes, si un dispositivo final se vio comprometido por este ataque, el ciberdelincuente podría acceder a mensajes cifrados previamente en texto sin formato. Sin embargo, el implante se borraba con el reinicio del móvil.

Los investigadores estiman que los sitios comprometidos fueron visitados por miles de visitantes cada semana.

En total, descubrieron 14 vulnerabilidades en cinco cadenas de exploits diferentes, incluida una que no tenía parches de seguridad. Las versiones de iOS 10 a 12 se vieron afectadas por las vulnerabilidades, lo que según los investigadores indica que los atacantes intentaron hackear usuarios durante al menos dos años.

"No hubo discriminación de objetivos: simplemente visitar el sitio hackeado fue suficiente", dijo Ian Beer de Google, que trabaja en el equipo del Proyecto Cero.

Google advirtió que solo ha atrapado a un atacante, pero otros pueden haber estado operando estafas similares. "Es casi seguro que hay otros que aún no se han visto", advirtió Beer.

Google comunicó los problemas de seguridad a Apple el 1° de febrero; días después, Apple lanzó una actualización de su sistema operativo que solucionó dichos defectos.

"La realidad sigue siendo que las protecciones de seguridad nunca eliminarán el riesgo de ataque si estás siendo atacado. (...) Todo lo que los usuarios pueden hacer es ser conscientes del hecho de que la explotación masiva todavía existe y comportarse como corresponde; tratar sus dispositivos móviles como parte integral de sus vidas modernas, pero también como dispositivos que, cuando se ven comprometidos, pueden cargar todas sus acciones en una base de datos para ser potencialmente utilizadas en su contra", advirtió el especialista de Projecto Cero.

Reportar error
Enviado
Error
Reportar error