Dos investigadores del Georgia
Tech Information Security Center (GTISC), en la ciudad estadounidense de
Atlanta, Tielei Wang y Billy Lau, han descubierto dos brechas de seguridad en
la plataforma iOS que comprometen a todos los dispositivos que funcionan con
este sistema operativo y se valen de aplicaciones y cargadores, en apariencia,
inocuos.
En una nota del GTISC, Wang y Lau
explican cómo ellos mismos fueron capaces de crear una aplicación y un cargador
que vulnerase el control de seguridad de Apple para desarrollar comportamiento
malicioso en los dispositivos, sin el consentimiento ni el conocimiento de sus
usuarios.
Wang y Lau alertan de que
cualquier usuario de iOS está afectado por esta amenaza, puesto que los ataques
que ellos mismos han ejecutado no requieren interacción con el usuario ni que
el dispositivo este jailbreakeado.
Una app y un cargador maliciosos
Wang, por ejemplo, creó un ataque
a la que denominó Jekyll, basado en una app capaz de reiniciar su propio código
para desarrollar nuevas funcionalidades que no muestra en el momento en el que
se produce el control que Apple ha establecido para las aplicaciones (que tiene
fama de severo). Estas funcionalidades incluyen publicar tuits, tomar fotos,
enviar emails y SMS sin autorización ni conocimiento del usuario, e, incluso,
atacar a otras aplicaciones.
Lau investigó el grado de amenaza
que podían conllevar otras actividades cotidianas, como conectar el iPhone a un
cargador. Así, fabricó un cargador “malicioso”, como lo denominan en el GTISC,
válido para iPhone y para iPad, que, una vez enchufado a cualquier dispositivo
iOS, puede instalar aplicaciones como la antes mencionada, con malware.
El director asociado del GTISC,
Paul Royal, señala que los usuarios de iOS acostumbran a sentirse invulnerables
por el control obligatorio al que Apple somete a todas las aplicaciones que
vayan a ejecutarse en iOS. “Hace que los usuarios se sientan seguros al
utilizar cualquier app de iOS”, explica.
Pero el ataque programado por Wang, por ejemplo, está diseñado para no
mostrar sus funcionalidades hasta que supera dicho control.
Apple toma nota
Los dos hackers se pusieron en
contacto con Apple para notificarle sus descubrimientos. La compañía de
Cupertino, explican, les ha respondido, y aunque el ataque Jekyll todavía no
tiene solución, Apple sí ha incluido una nueva funcionalidad en iOS 7, que
avisa a los usuarios cuando cualquier periférico está intentando establecer una
conexión de datos con su dispositivo.
Apple recomendó hace poco a sus
usuarios en China que utilizaran solo cargadores oficiales para sus
dispositivos, después de la muerte de una joven por electrocución mientras
hablaba por su iPhone, presumiblemente conectado a un cargador fabricado por terceros.
Fuente: Ticbeat.
No hay comentarios:
Publicar un comentario