Una nueva versin de los sistemas operativos del iPhone, iPad y los Mac solventa dos graves fallos de seguridad
Dos nuevas esenciales vulnerabilidades de software, clasificadas como CVE-dos mil veintitres-cuarenta y mil sesenta y cuatro y CVE-dos mil veintitres-cuarenta y mil sesenta y uno mas apodadas «BLASTPASS«, conminan con transformarse en una pesadilla para Apple a pocos das del lanzamiento de sus nuevos telfonos.
Descubiertas por el Citizen Lab y la Universidad de Toronto, se trata de dos fallos en el sistema ignotos hasta el momento y que dejan hacerse con el control de un dispositivo o instalar un programa espa tan slo cargando una imagen o fichero adjunto en una pgina web o un correo, sin que sea preciso que el usuario pulse un botn o un link. Tambin aprovechan un error presente en la aplicacin de pagos electrnicos de la compaa, instalada en todos y cada uno de los dispositivos por defecto.
Ambos son lo que comnmente se conoce como «vulnerabilidades de da cero» (zero-day vulnerabilities en ingls), que son una vulnerabilidad de seguridad en un software o sistema operativos desconocidos para el fabricante o desarrollador y que, por tanto, no han sido corregidos.
El trmino «da cero» se refiere al hecho de que los autores del software no tienen conocimiento de la vulnerabilidad hasta el momento en que alguien la explota o notifica a la compaa responsable. Esto quiere decir que no hay «das» de ventaja para los usuarios o los fabricantes para abordar la vulnerabilidad antes que sea potencialmente empleada por los atacantes.
Las vulnerabilidades de da cero son en especial peligrosas porque los ciberdelincuentes pueden aprovecharlas antes que se desarrolle un parche o una solucin de seguridad. Cuando se descubre una vulnerabilidad de da cero, acostumbra a sostenerse en secreto a fin de que el fabricante del software tenga la ocasión de crear y repartir un parche antes que los atacantes la usen en ataques. Este ha sido el caso de BLASTPASS, al poco de hacerse pblico el inconveniente Apple tena ya listas las versiones de sus sistemas operativos que lo corrigen, mas es preciso instalar las ltimas actualizaciones de iOS dieciseis, iPadOS dieciseis, watchOS dieciseis y macOS 13 (las versiones actuales de los sistemas operativos) a fin de que no pueda ser aprovechado.
El conjunto que ha detectado el fallo asegura que al menos hay un caso en el que se ha empleado para comprometer el telfono de una persona. Se trata del trabajador de una organizacin internacional con sede en la ciudad de Washington DC. La vulnerabilidad permiti a los atacantes instalar una copia del software espa Pegasus de NSO, empleado por agencias de seguridad de muchos pases para espiar las comunicaciones de activistas o contrincantes polticos.
«La vulnerabilidad es capaz de comprometer los iPhones con la ltima versin de iOS (16.6) sin ninguna interaccin de la vctima», explican los estudiosos.
