Send us a Tip!ShopSubscribe
Tecnología, ciencia y cultura digital
We may earn a commission from links on this page
Search
Tecnología

Cuidado con lo que instalas: hay una vulnerabilidad grave en iOS que todavía no ha sido parcheada

Un experto en seguridad decidió hacerla pública después de que Apple no le hiciera caso

By
Matías S. Zavia
Comments (15)
Alerts
We may earn a commission from links on this page.
Imagen para el artículo titulado Cuidado con lo que instalas: hay una vulnerabilidad grave en iOS que todavía no ha sido parcheada
Foto: Caitlin McGarry / Gizmodo

Un experto en seguridad ruso apodado illusionofchaos ha hecho públicas cuatro vunerabilidades graves en iOS, tres de las cuales no han sido parcheadas aún, después de que Apple supuestamente ignorara sus mensajes durante medio año.

Watch
Por qué encoge tu ropa cuando la lavas (y cómo puedes evitarlo)
December 15, 2022
Esta es la razón por la que todos los huracanes giran siempre en la misma dirección
December 15, 2022

Como todas las grandes empresas de tecnología, Apple tiene un programa de recompensas que paga hasta un millón de dólares a los participantes que informen de fallos de seguridad en sus sistemas. Pero no siempre funciona como debería.

El hacker illusionofchaos informó a Apple de cuatro vulnerabilidades de día cero (fallos de seguridad especialmente graves que deben mitigarse de alguna forma) entre el 10 de marzo y el 4 de mayo. Según su propia narración de los hechos, Apple corrigió una de estas vulnerabilidades con iOS 14.7, pero no lo mencionó en su página de actualizaciones de seguridad. Las otras tres siguen presentes en iOS 15, como confirmó en Twitter Kosta Eleftheriou.

Advertisement

Estas vulnerabilidades permiten explotar el Game Center de iOS para extraer datos personales críticos del usuario. Una aplicación descargada de la App Store que ataque estos fallos podría obtener acceso a:

  • El correo electrónico del ID de Apple y el nombre completo del usuario.
  • Un token de autenticación del ID de Apple que permite hacer peticiones en al menos un servicio de Apple en nombre del usuario (gc.apple.com).
  • La base de datos de Core Duet con permisos de lectura (contiene una lista de contactos de Mail, SMS, iMessage, aplicaciones de mensajería de terceros y metadatos de todas las interacciones del usuario con estos contactos, incluida la hora y estadísticas, además de algunos archivos adjuntos, como enlaces y textos).
  • La base de datos de la aplicación de llamadas y la base de datos de los contactos con permisos de lectura (contiene imágenes de los contactos y otros metadatos como las fechas de creación y modificación). Aunque esta ya no es accesible desde iOS 15.
G/O Media may get a commission
Discover Samsung - Daily Deal
24 hour deals
Discover Samsung - Daily Deal

Discover Samsung!
Each day this week, Samsung highlights their bestsellers with 24-hour deals and four-hour flash sales.

Advertisement

Illusionofchaos ha presentado una prueba de concepto que ha permitido a otros expertos como Eleftheriou confirmar estos fallos. Puesto que no están parcheados, solo puedes tener cuidado con lo que instalas en iOS hasta que Apple decida lanzar un parche de seguridad.

Hace apenas una semana, Apple lanzó una actualización de seguridad para solucionar otras vulnerabilidades de día cero explotables desde iMessage.

Tecnología