Menú principal

martes, 12 de abril de 2016

OS X: Parche de iMessage evita robo de historial de chats

El servicio de mensajería de Apple denominado iMessage proporciona un cifrado extremo a extremo para todas las comunicaciones realizadas, al igual que ahora hace Whatsapp. La robustez del cifrado hizo que unos atacantes buscaran el fallo en el cliente y no en la comunicación. Unos investigadores encontraron una vulnerabilidad que permitía obtener datos del usuario. Antes de liberarla públicamente, ellos informaron a Apple. La vulnerabilidad de iMessage ha sido parcheada por Apple y los datos de usuario están fortificados. Se puede encontrar más en su CVE-2016-1764.

La vulnerabilidad consistía en enviar al usuario un enlace falso, el cual cuando se hacía clic tiraba de los datos del usuario del cliente de iMessage de OS X y se podían subir a un servidor remoto. El trick de la vulnerabilidad solo podía ser activado después de que el usuario hiciera clic en el enlace, por lo que para asegurarse de que se hacía clic se enmascaraba la dirección URL maliciosa con un dominio conocido como facebook.com o google.com. El javascript hacía el resto como se puede ver en el video. Todo era un fallo en el CSP. Lo que no queda claro es si estos investigadores fueron los primeros o había alguien aprovechándose de dicha vulnerabilidad.

Figura 1: Demostración del robo de historial de chats

Es interesante ver la reacción que Apple ha tenido con este fallo de seguridad, el cual ha sido parcheado rápidamente. También la gravedad y como afectaba a la privacidad de los usuarios ha ayudado a que la Apple se tomara las cosas en serio. Hay que recordar que hace poco hablábamos de otro fallo, en este caso se permitía a un usuario desbloquear el terminal de otro sin estar autorizado y acceder a datos de éste.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares