Los usuarios de iOS 13 deberán actualizar su firmware para parchear una vulnerabilidad que ha sido descubierta recientemente por el investigador Jose Rodriguez. El fallo en cuestión permite a cualquier usuario hacer un bypass al bloqueo del iPhone y acceder a los contactos. Este exploit afecta a aquellos dispositivos que dispongan de iOS 13, el nuevo sistema operativo de Apple que será lanzado durante este mes. Para llevar este “hack” a cabo es necesario responder a una llamada utilizando una de las opciones de Siri que permite responder a través de un mensaje de texto. Una vez que Siri se vuelve a activar la aplicación debería de cerrarse pero no sucede así. La aplicación de contactos se queda abierta permitiendo el acceso a los contactos del dispositivo.
Según Jose Rodriguez las versiones beta de iOS 13.1 ya no cuentan con este fallo, el nuevo sistema operativo será lanzado al público el 30 de septiembre. Aunque esta vulnerabilidad no sea algo bueno tampoco supone un problema mayor, sobre todo si la comparamos con un exploit que permitiese la inyección de malware, de hecho aprovechar una vulnerabilidad de este tipo para inyectar malware resulta muy complicado (casi imposible) ya que sería necesario acceso físico al dispositivo además de que la transición entre aplicaciones fuese bastante más lenta. Por suerte para los usuarios las consecuencias de este exploit se puede solucionar fácilmente instalando la actualización de iOS 13.1 o simplemente desactivando Siri cuando la pantalla este bloqueada desde el menú de preferencias (esta función viene activada por defecto).
Durante los últimos meses Apple ha tenido que responder a una avalancha de reportes por fallos de seguridad que podían afectar potencialmente a sus clientes. En agosto el equipo de Project Zero descubrió un ataque web que tenía como principal objetivo el mercado chino. Los usuarios que visitaron los sitios web infectados fueron inyectados con spyware en sus dispositivos. Este malware era capaz de escapar del sandbox y engañar al kernel para acceder a la información de los iPhone. Tras esta mala racha y con la llegada de iOS 13 y sus nuevos dispositivos Apple pretende apostar por la seguridad y la privacidad de sus usuarios más que nunca, de hecho iOS 13 incorporará un montón de nuevas funciones de seguridad, si todavía no sabes en qué consisten en este post podrás descubrir algunas de ellas.
Según Jose Rodriguez las versiones beta de iOS 13.1 ya no cuentan con este fallo, el nuevo sistema operativo será lanzado al público el 30 de septiembre. Aunque esta vulnerabilidad no sea algo bueno tampoco supone un problema mayor, sobre todo si la comparamos con un exploit que permitiese la inyección de malware, de hecho aprovechar una vulnerabilidad de este tipo para inyectar malware resulta muy complicado (casi imposible) ya que sería necesario acceso físico al dispositivo además de que la transición entre aplicaciones fuese bastante más lenta. Por suerte para los usuarios las consecuencias de este exploit se puede solucionar fácilmente instalando la actualización de iOS 13.1 o simplemente desactivando Siri cuando la pantalla este bloqueada desde el menú de preferencias (esta función viene activada por defecto).
Figura 1: Accediendo a los contactos a través de Siri |
Durante los últimos meses Apple ha tenido que responder a una avalancha de reportes por fallos de seguridad que podían afectar potencialmente a sus clientes. En agosto el equipo de Project Zero descubrió un ataque web que tenía como principal objetivo el mercado chino. Los usuarios que visitaron los sitios web infectados fueron inyectados con spyware en sus dispositivos. Este malware era capaz de escapar del sandbox y engañar al kernel para acceder a la información de los iPhone. Tras esta mala racha y con la llegada de iOS 13 y sus nuevos dispositivos Apple pretende apostar por la seguridad y la privacidad de sus usuarios más que nunca, de hecho iOS 13 incorporará un montón de nuevas funciones de seguridad, si todavía no sabes en qué consisten en este post podrás descubrir algunas de ellas.
Interesante. Gracias por el artículo y por este magnífico blog. Un saludo desde la comunidad de Usuri@s OffShell System.
ResponderEliminar