Dos investigadores de seguridad de Google (Project Zero) han descubierto seis vulnerabilidades en iOS de las llamadas de «interacción cero». Estos agujeros en el sistema permiten que un atacante pueda obtener el control del terminal simplemente con que el usuario reciba y abra un mensaje.
Cinco de ellas fueron arregladas en iOS 12.4, pero Apple no ha sido capaz de eliminar la sexta completamente.
Pruebas del fallo en iOS
Según los informes de ZDNet, Google ha publicado un código como prueba de concepto para explotar los bugs que ya han sido arreglados por Apple.
Aunque Apple ha intentado eliminar las seis vulnerabilidades con iOS 12.4, parece ser que (según Google) no han tenido éxito con una de ellas.
Los detalles de las otras cinco vulnerabilidades serán compartidos en la conferencia de seguridad Black Hat, que tendrá lugar en Las Vegas la semana que viene. Cabe destacar que, con mucha ética, Google reportó primero los problemas a Apple para permitirles solucionarlos antes de que el equipo revelase los detalles.
Por qué son peligrosos estos bugs
Las vulnerabilidades de «interacción cero» o «sin fricción» son particularmente peligrosas. La mayoría de los exploits de iOS y macOS funcionan engañando al usuario para que ejecute una app, o revelando sus credenciales del ID de Apple. Una vulnerabilidad de interacción cero no precisa de nada más que abrir un mensaje, que puede ser vía SMS, MMS o Mail.
Este tipo de descubrimientos valen ingentes cantidades de dinero en el mercado negro (incluso millones de dólares). A pesar de que la mayoría de usuarios no seáis el objetivo de un ataque que aproveche estas vulnerabilidades, la acción más lógica es actualizar vuestros terminales a la versión 12.4 de iOS para evitar problemas y estar lo más protegidos posible. Esperemos que Apple consiga eliminar la sexta vulnerabilidad en no mucho tiempo.