Google descubre seis fallos de seguridad en iOS

Una anécdota sin olvido es lo que vamos a comentarte. Natalie Silvanovich y Samuel Groß son dos integrantes que pertenecen al programa Google Project Zero.

El mismo se encarga de detectar errores, fallas y vulnerabilidades en todo tipo de software, sea de la empresa y/o marca que sea.

En esta ocasión, ambos se toparon no con una, ni dos… sino con hasta seis vulnerabilidades que afectaban a iOS. Según se informó, cinco de ellos ya están resueltas con la largada de iOS 12.4 la semana pasada.

Google le hace soporte técnico a Apple

Cinco de esos seis fallos son “interactionless” (sin interacción). Afectan al sistema operativo móvil de Apple y pueden explotarse a través del cliente iMessage.

Ahora bien, cuatro de ellos pueden conducir a la ejecución de código malicioso en un dispositivo iOS remoto, sin necesidad de interacción por parte del usuario. Basta con enviar un mensaje determinado al teléfono de la víctima y el código se ejecutará una vez abierto ese texto.

Dichos exploits son CVE-2019-8647, CVE-2019-8660, CVE-2019-8662 y CVE-2019-8641. El último mencionado no tiene un link que lleve a sus detalles, esto se debe a que todavía no está solucionado por parte de los de Cupertino. Desde ya que esperemos el lanzamiento de alguna actualización para iOS que genere un parche, por más que se trate de un update de poco peso la relevancia no sería menor.

Las otras vulnerabilidades son CVE-2019-8624 y CVE-2019-8646. Ambos podían “permitir que un atacante filtre datos de la memoria de un dispositivo y lea archivos de un dispositivo remoto, también sin interacción del usuario”, según remarcan en ZDNet.

Silvanovich realizará una charla la semana que viene en la conferencia de seguridad Black Hat hablando sobre este hito.

Se estima que en el mercado negro estos fallos tienen un valor de entre 5 millones y 10 millones de dólares. Pero bueno, por suerte estos dos técnicos no son pretenciosos en cuanto a dinero se refiere y decidieron brindar toda la información a Apple. Ahora depende de los chicos de Tim Cook terminar de reparar los errores.

Fuente: ZDNet