Contraseñas de quienes tienen iPhone, iPad y Mac están en peligro

Un nuevo hallazgo por parte de investigadores ha puesto en evidencia una vulnerabilidad en dispositivos Apple lanzados después de 2020, que podría tener consecuencias para la privacidad de millones de usuarios de iPhone, iPad y Mac.

Los hackers detrás de este hallazgo llamaron al fallo iLeakage, que es capaz de ver contraseñas guardadas en el dispositivo, el historial de videos en YouTube, los correos recibidos en Gmail, entre otra información confidencial.

El informe de los investigadores, provenientes del Instituto de Tecnología de Georgia, la Universidad de Michigan y la Universidad de Ruhr en Bochum, muestra una vulnerabilidad en las unidades centrales de procesamiento (CPU) de las series A y M que están en dispositivos iOS y macOS, lanzados en los últimos tres años.

El fallo iLeakage permite a los atacantes forzar al navegador Safari a revelar información persona, basándose en la explotación de la ejecución especulativa, una característica de rendimiento que se encuentra en las CPU modernas.

Para ejecutar el ataque y tomar la información, aprovechando este error, un ciberdelincuente necesitaría solo unos minutos para “perfilar” la máquina de destino y alrededor de 30 segundos para extraer la información sensible.

Lo que hace que iLeakage sea particularmente peligroso es su capacidad para operar prácticamente sin ser detectado. El ataque se ejecuta en Safari, no deja rastros en los archivos de registro del sistema y puede pasar desapercibido. Sin embargo, el informe de investigación señala que es posible que el ataque deje rastros de la página web maliciosa en la caché del navegador de las páginas recientemente visitadas.

Los hackers encontraron que en el caso de los Mac, el ataque solo se puede ejecutar desde Safari, mientras que en iPhone y iPad es posible usar cualquier otro navegador, ya que todos ellos se basan en el motor de navegador WebKit de Apple.

Los investigadores aseguran que Apple ha implementado una mitigación para iLeakage en Safari, aunque esta no está habilitada de forma predeterminada y solo es posible hacerlo en macOS. Además, esta solución se describe como inestable.

Un representante de la empresa les ha indicado que tienen planes de abordar esta vulnerabilidad en una próxima versión de software, lo que resolvería el problema a una gran base de usuarios.

Esto significa que quienes tengan algún dispositivo de la compañía, que haya sido lanzado después de 2020, debe estar actualizado constantemente para garantizar que tiene las últimas versiones de seguridad.

Aunque señalan que la probabilidad de ser víctima de un ataque como iLeakage es baja debido a la experiencia técnica requerida por los atacantes, es fundamental estar al tanto de las actualizaciones de seguridad y aplicarlas tan pronto como estén disponibles.

Este tipo de ataque se conoce como Spectre, que es cuando un atacante aprovecha un fallo para acceder a información de otras aplicaciones y robar datos. Comúnmente esta vulnerabilidad afecta a una amplia gama de microprocesadores y un problema que las empresas han buscado solucionar desde hace más de seis años.

Apple se comprometió a hacer que sus celulares sean más fáciles de reparar, por lo que permitirá el acceso a partes, herramientas y toda la información que sea necesaria para estos procesos.

Durante el pronunciamiento, que fue realizado en un evento en la Casa Blanca, la empresa indicó que está dispuesta a ampliar el soporte de reparación que ya está disponible vía web y en tiendas especializadas, para hacerlo accesible a todos sus clientes y establecimientos independientes, al menos en Estados Unidos.

“Desde celulares hasta sillas de ruedas, autos e incluso equipamiento para granjas, es común que los fabricantes hagan complicado el acceso a partes de repuesto, manuales y las herramientas necesarias para hacer reparaciones”, indicó Lael Brainard, director del Consejo Económico Nacional de Estados Unidos.

Además, Brian Naumann, vicepresidente de Apple y director general del negocio de reparación, indicó que los consumidores y negocios se beneficiarían de una ley que haga un balance entre la capacidad de reparación de un dispositivo, la integridad del producto, además de su uso y la seguridad.