Menú principal

martes, 26 de julio de 2016

Actualiza: Con el Bug de TIFF en iOS y OS X pueden robarte tus contraseñas

El investigador de Cisco Tyler Bohan ha descubierto un agujero de seguridad en iOS y OS X con el que cualquier usuario podrá acceder a las contraseñas con tan sólo el envío de un mensaje, el cual afecta al dispositivo. ¿Dónde se encuentra el bug? Existe una función en iMessage que se encarga de llevar a cabo la descarga de imágenes que son enviadas, es decir, de forma automática. Entonces, es posible crear un archivo con extensión TIFF con el objetivo de que se haga pasar por una imagen más. El archivo TIFF puede contener código arbitrario con el objetivo de lograr acceso a credenciales.

Esto ocurre debido a una mala gestión del sistema operativo, el cual no realiza una comprobación válida sobre el tipo de imagen o si realmente es una imagen. De esta forma, y tras la ejecución de código, el sistema queda "infectado", por lo que se puede extraer contraseñas almacenadas en el dispositivo sin que la víctima se percate de algo. Apple ha parcheado la vulnerabilidad en el nuevo iOS 9.3.3 y El Capitan 10.11.6. Es muy importante llevar a cabo la actualización, y hay que estar atentos, ya que la vulnerabilidad podría afectar a más aplicaciones.

Figura 1: Bug que permite RCE en iOS y OSX con una imagen

Si aún no has actualizado tu iOS y tu OSX es el momento de hacerlo. Conociendo estas vulnerablidades tan potente el riesgo es grande. Una de las posibles mitigaciones es evitar que las imágenes se descarguen automáticamente, con el objetivo de evitar que al recibir una imagen maliciosa, ésta se ejecutase automáticamente y quedaríamos vulnerados. Seguiremos atentos a posibles nuevas aplicaciones afectadas por esta nueva vulnerabilidad conocida. A esta vulnerabilidad se la conoce como"El Stagefright de iOS" y si eres usuario de iOS con Jailbreak puedes usar TIFF Disabler si no has actualizado a la última versión de iOS con el nuevo "On demand" Jailbreak.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares