Lima, Perú
+5113014109

hay una vulnerabilidad grave en iOS que todavía no ha sido parcheada

hay una vulnerabilidad grave en iOS que todavía no ha sido parcheada


Imagen para el artículo titulado Cuidado con lo que instalas: hay una vulnerabilidad grave en iOS que todavía no ha sido parcheada

Foto: Caitlin McGarry / Gizmodo

Un experto en seguridad ruso apodado illusionofchaos ha hecho públicas cuatro vunerabilidades graves en iOS, tres de las cuales no han sido parcheadas aún, después de que Apple supuestamente ignorara sus mensajes durante medio año.

Como todas las grandes empresas de tecnología, Apple tiene un programa de recompensas que paga hasta un millón de dólares a los participantes que informen de fallos de seguridad en sus sistemas. Pero no siempre funciona como debería.

El hacker illusionofchaos informó a Apple de cuatro vulnerabilidades de día cero (fallos de seguridad especialmente graves que deben mitigarse de alguna forma) entre el 10 de marzo y el 4 de mayo. Según su propia narración de los hechos, Apple corrigió una de estas vulnerabilidades con iOS 14.7, pero no lo mencionó en su página de actualizaciones de seguridad. Las otras tres siguen presentes en iOS 15, como confirmó en Twitter Kosta Eleftheriou.

Estas vulnerabilidades permiten explotar el Game Center de iOS para extraer datos personales críticos del usuario. Una aplicación descargada de la App Store que ataque estos fallos podría obtener acceso a:

  • El correo electrónico del ID de Apple y el nombre completo del usuario.
  • Un token de autenticación del ID de Apple que permite hacer peticiones en al menos un servicio de Apple en nombre del usuario (gc.apple.com).
  • La base de datos de Core Duet con permisos de lectura (contiene una lista de contactos de Mail, SMS, iMessage, aplicaciones de mensajería de terceros y metadatos de todas las interacciones del usuario con estos contactos, incluida la hora y estadísticas, además de algunos archivos adjuntos, como enlaces y textos).
  • La base de datos de la aplicación de llamadas y la base de datos de los contactos con permisos de lectura (contiene imágenes de los contactos y otros metadatos como las fechas de creación y modificación). Aunque esta ya no es accesible desde iOS 15.

Illusionofchaos ha presentado una prueba de concepto que ha permitido a otros expertos como Eleftheriou confirmar estos fallos. Puesto que no están parcheados, solo puedes tener cuidado con lo que instalas en iOS hasta que Apple decida lanzar un parche de seguridad.

Hace apenas una semana, Apple lanzó una actualización de seguridad para solucionar otras vulnerabilidades de día cero explotables desde iMessage.





Enlace fuente

Post Relacionados
× ¿Cómo puedo ayudarte? Available from 09:00 to 18:00