Menú principal

martes, 12 de abril de 2016

OS X: Parche de iMessage evita robo de historial de chats

El servicio de mensajería de Apple denominado iMessage proporciona un cifrado extremo a extremo para todas las comunicaciones realizadas, al igual que ahora hace Whatsapp. La robustez del cifrado hizo que unos atacantes buscaran el fallo en el cliente y no en la comunicación. Unos investigadores encontraron una vulnerabilidad que permitía obtener datos del usuario. Antes de liberarla públicamente, ellos informaron a Apple. La vulnerabilidad de iMessage ha sido parcheada por Apple y los datos de usuario están fortificados. Se puede encontrar más en su CVE-2016-1764.

La vulnerabilidad consistía en enviar al usuario un enlace falso, el cual cuando se hacía clic tiraba de los datos del usuario del cliente de iMessage de OS X y se podían subir a un servidor remoto. El trick de la vulnerabilidad solo podía ser activado después de que el usuario hiciera clic en el enlace, por lo que para asegurarse de que se hacía clic se enmascaraba la dirección URL maliciosa con un dominio conocido como facebook.com o google.com. El javascript hacía el resto como se puede ver en el video. Todo era un fallo en el CSP. Lo que no queda claro es si estos investigadores fueron los primeros o había alguien aprovechándose de dicha vulnerabilidad.

Figura 1: Demostración del robo de historial de chats

Es interesante ver la reacción que Apple ha tenido con este fallo de seguridad, el cual ha sido parcheado rápidamente. También la gravedad y como afectaba a la privacidad de los usuarios ha ayudado a que la Apple se tomara las cosas en serio. Hay que recordar que hace poco hablábamos de otro fallo, en este caso se permitía a un usuario desbloquear el terminal de otro sin estar autorizado y acceder a datos de éste.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares