Un fallo de seguridad en el iPhone permitió acceder a información de los usuarios

El equipo de seguridad de Google, Project Zero, ha explicado este viernes cómo determinadas páginas web con código incrustadopáginas web con código incrustado lograron acceder a contenido de móviles iPhone y de tabletas iPad aprovechando vulnerabilidades graves del sistema operativo. Los fallos, hasta un total de 14 errores, afectaban a todas las versiones y subversiones del código de dispositivos móviles de Apple desde iOS10 a iOS12, que usaban desde el iPhone 5 en adelante y desde el iPad Air.

Esto supone que los errores afectaban a todas las actualizaciones que la compañía lanzó desde septiembre del 2016 a septiembre del 2018, y que al menos en un caso son fallos considerados "de día cero", es decir, que están presentes en el núcleo del código desde el primer día y que han pasado inadvertidos en las revisiones. 

Apple y Google suspenden las grabaciones de sus asistentes de voz

Según los investigadores de Google, los atacantes crearon varias páginas web que estuvieron activas a lo largo del 2017 en las que incrustaron código que hacía que cuando un usuario de iPhone las visitaba, se les cargaba un 'exploit' que permitía a los atacantes burlar las protecciones de seguridad del sistema operativo. Así, sostienen, les era posible acceder a toda la información, al menos, del iMessage, las fotos y la localización. 

Otros datos como la tarjeta de crédito, número de teléfono, dirección postal o correos electrónicos también se almacenan en el teléfono.

El sistema de ataque lo fueron perfeccionando hasta desarrollar cinco versiones de cadenas, a cual más sofisticada. Cinco de ellas atacaban el navegador web, otras cinco el núcleo del sistema operativo (el llamado kernel) y otras cuatro se dirigían a las capas de software que relacionan las apps con el sistema operativo (sandbox). 

Según Ian Beer, de Project Zero, no eran ataques dirigidos a un público concreto, sino que eran páginas muy generales que recibían cientos de miles de visitantes por semana. Y es el mayor fallo de seguridad en dispositivos Apple en toda su historia, según la revista Wired. Según sus analistas, frente a lo costoso que ha resultado para ciertas administraciones hackear los iPhone de sospechosos de terrorismo --el famoso caso del FBI para acceder a la información de los autores de la matanza de San Bernardino--, a unos hackers les ha resultado muy barato entrar en los móviles de Apple tan solo con incluir código en webs. 

La vulnerabilidad ya fue publicada por Google el pasado febrero, después de que Apple la reparara, y las webs atacantes ya están cerradas. Project Zero es el equipo de seguridad que más vulnerabilidades reporta y tiene incluso un premio para animar a que los programadores denuncien fallos. Uno de los problemas más sonados que han encontrado fue el que afectaba al protocolo HTTPS.