Menú principal

viernes, 11 de marzo de 2011

Revuelo en el mundo de la seguridad con iOS 4.3

Apple se adelantó un par de días a la planificación que tenía prevista con el lanzamiento de su sistema operativo iOS 4.3 para iPhone, iPad, iPod Touch y Apple TV. En muchos de los medios de comunicación se ha hablado largo y tendido de las nuevas características anunciadas, como un motor más rápido de Javascript, el soporte para AirPlay para todas las aplicaciones o la suposición del soporte de los chips A5 para el futuro iPhone 5 han sido algunas de la cosas de las que más se ha hablado.

Por otro lado, en los mentideros que pueblan los que viven pendientes de la seguridad informática el revuelo ha sido enorme, dejando epítetos de todos los tipos con esta nueva actualización.

Inclusión de ASLR y herramientas de Jailbreak

Como primera reacción, los especialistas en las herramientas de jailbreak hablaban de tener cuidado y no actualizar el sistema operativo, ya que, con toda nueva versión, Apple tiende a eliminar las vulnerabilidades explotadas por las herramientas de jailbreak y eso es especialmente malo para todos aquellos dispositivos que no cuentan con una solución untethered, es decir, que deben realizar un jailbreak en cada momento.

Además, Apple había anunciado que iba a incorporar una de las medidas de seguridad más solicitadas, el soporte para ASLR (Address Space Layout Randomization), una solución que permite cargar los programas en memoria en direcciones aleatorias en cada ejecución, haciendo que para los creadores de exploits sea más complicado conseguir soluciones ejecutables consistentes que funcionen en todos los dispositivos siempre y que se puedan distribuir en una herramienta por Internet.

Curiosamente, anteriormente, la única forma de tener soporte de ASLR en iOS consistía en hacer el jailbreak y aplicar antid0te, una solución propuesta por un especialista de seguridad externo a la compañía Apple: Stephan Esser.

Sin embargo, fue salir iOS 4.3 y se pudo comprobar como que seguía siendo posible realizar jailbreak en los dispositivos, y la herramienta más utilizada Pwnage Tool, en su versión 4.2, anunciaba que era posible liberar los dispositivos, incluso con versión iOS 4.3. Este jailbreak es tethered, pero Charlie Miller, Comex y Stephen Esser ya han anunciado que han encontrado vulnerabilidades que permitirán hacer un untethered jailbreak para iOS 4.3

Parcheo de vulnerabilidades y riesgo de malware

Curiosamente, las mayores críticas al dispositivo no vinieron por ahí, sino por lo que arreglaba y dejaba sin arreglar la nueva versión de iOS 4.3. Para entender lo que ha pasado hay que repasar los últimos movimientos en actualizaciones de productos de Apple para encontrar el parcheo de 62 vulnerabilidades en el navegador Safari.

62 vulnerabilidades, de las que según Sophos, una vez conocidas por todo el mundo, con 59 de ellas sería posible comprometer completamente la seguridad de un equipo que no las tenga parcheadas, pudiendo hacer que prolifere malware para los dispositivos iPhone, iPad o iPod Touch que no se actualicen.

Conociendo esto, lo lógico es que todo el mundo se actualice lo antes posible. Tanto si quieres hacer jailbreak como si no, podrás seguir haciéndolo con la versión iOS 4.3, pero además estarás seguro contra malware que intente aprovechar una de esas vulnerabilidades, ¿no?

Pues resulta que no para todos, Apple no ha sacado actualización a iOS 4.3 para los dispositivos iPhone 3G, lo que ha indignado a muchos usuarios y ha conseguido titulares de Security FAIL de medios tan importantes como The Register.

Lo cierto es que, una vez conocido esto, los usuarios que se queden con versiones de iOS no actualizados se van a ver en una alta situación de riesgo, ya que el nivel crítico de estas vulnerabilidades es reconocido por la propia Apple en la descripción de seguridad de esta actualización iOS 4.3.

Descarga directa de iOS 4.3

Para todos aquellos que lo necesiten, pueden descargar las nuevas versiones de iOS para los distintos dispositivos desde los siguientes enlaces:


Para iPhone 3G habrá que esperar a ver si aparece una actualización o un parche, aunque sea no oficial, para las vulnerabilidades conocidas del sistema.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares