La vulnerabilidad de iPhone: Google descubrió un hackeo masivo a estos dispositivos desde sitios web maliciosos

El equipo de investigadores de seguridad del Project Zero, de Google, han descubierto una serie de sitios web que utilizaron fallas de seguridad no reveladas para atacar de manera indiscriminada a cualquier iPhone que los visitara.

De acuerdo con Motherboard, la división de Tecnología del medio estadounidense Vice, este podría ser uno de los ataques más grandes realizados en contra los usuarios de los teléfonos inteligentes de Apple.

La razón de esa afirmación es que todos aquellos dispositivos vulnerables que llegaron a entrar a alguno de los sitios web maliciosos veían comprometidos su archivos personales, mensajes y datos de ubicación en tiempo real.

Ian Beer, investigador de seguridad de Project Zero, explicó que "simplemente visitar el sitio hackeado era suficiente para que el servidor atacara al dispositivo y, si la ofensiva era exitosa, se instalaba un implante de monitoreo" a través del cual se sacaba la información mencionada.

Sin embargo, esos no eran todos los datos a los que podían tener acceso, pues también era posible ingresar a las bases de aplicaciones de mensajería aparentemente seguras como WhatsApp, la cual usa un cifrado de extremo a extremo, mismo que no tiene ninguna forma de protección cuando el dispositivo es el comprometido.

La relevancia de este ataque también se encuentra en el tiempo por el que se realizó, pues según información de los investigadores de Google, los sitios web maliciosos habían estado hackeando iPhones durante un período de al menos dos años.

Otro punto que es importante sobre este ataque fue el amplio campo de acción, pues de acuerdo con los especialistas este tipo de ofensivas suelen ser más específicas y se llevan a cabo a través de enlaces individuales. En este caso, los expertos mencionaron que los sitios comprometidos registraron miles de visitas cada semana.

Cabe mencionar que el implante instalado por los sitios maliciosos se eliminarían si el usuario reinicia su teléfono. No obstante, los investigadores puntualizaron que debido que el hackeo compromete el llavero del dispositivo, los atacantes podrían tener accesos a cualquier llave de autenticación del usuario aun después de que el implante haya desaparecido.

Las versiones de iOS que se vieron afectadas por las vulnerabilidades fueron desde la 10 hasta la actualización más reciente del software.

El equipo de Google también mencionó que contactó a los trabajadores de Apple para informar acerca de este problema en febrero de este año y que le dieron a la compañía de Cupertino, California, únicamente siete días para reparar el error.

Desde el portal TechCrunch señalaron que esta fecha límite que dio Google para realizar las reparaciones necesarias fue sumamente corta, ya que el periodo normal para estas tareas es de 90 días. Esta disposición de trabajo tan corta, explicaron, reflejaba la gravedad de las vulnerabilidades.

Por su parte, Apple parchó las fragilidades en iOS 12.1.4, la cual es la misma actualización que solucionó una falla importante de seguridad de FaceTime, que permitía a cualquier persona que llamara a un teléfono o Mac escuchara a su interlocutor antes de que contestara.

Apple suele tener buena fama respecto a la seguridad de sus dispositivos en materia de privacidad, sin embargo, recientemente se ha visto inmiscuidos en problemas relacionados, pues hace unos días admitió y se disculpó por haber escuchado conversaciones de sus usuarios con Siri para mejorar el reconocimiento de voz sin su autorización.

Si bien las fallas ya han sido reparadas, Ian Beer considera que es probable que aún existan errores escondidos y haya más por descubrir: "Para esta campaña que hemos visto, es casi seguro que hay otras que aún no se han identificado y están actualmente en acción".