Defecto en el iPhone, los iPads pueden haber permitido a los piratas informáticos robar datos durante años

WASHINGTON / SAN FRANCISCO (Reuters) – Apple Inc (AAPL.O) planea arreglar una falla que una empresa de seguridad dijo que podría haber dejado a más de 500 millones de iPhones vulnerables a los piratas informáticos.

Defecto en el iPhone, los iPads pueden haber permitido a los piratas informáticos robar datos durante años

FOTO DE ARCHIVO: los iPhone de Apple 11 se muestran dentro de la Apple Store en la Quinta Avenida en el distrito de Manhattan de Nueva York, Nueva York, EE. UU., 20 de septiembre de 2019. REUTERS / Carlo Allegri

El error, que también existe en iPads, fue descubierto por ZecOps, una compañía forense de seguridad móvil con sede en San Francisco, mientras investigaba un ataque informático sofisticado contra un cliente que tuvo lugar a fines de 2019. Zuk Avraham, director ejecutivo de ZecOps, dijo encontró evidencia de que la vulnerabilidad fue explotada en al menos seis robos de ciberseguridad.

Un portavoz de Apple reconoció que existe una vulnerabilidad en el software de Apple para el correo electrónico en iPhones y iPads, conocida como la aplicación Mail, y que la compañía había desarrollado una solución, que se implementará en una próxima actualización en millones de dispositivos que ha vendido en todo el mundo. .

Apple se negó a comentar sobre la investigación de Avraham, que se publicó el miércoles, que sugiere que la falla podría desencadenarse desde lejos y que los hackers ya la habían explotado contra usuarios de alto perfil.

Avraham dijo que encontró evidencia de que un programa malicioso estaba aprovechando la vulnerabilidad en el sistema operativo móvil iOS de Apple desde enero de 2018. No pudo determinar quiénes eran los piratas informáticos y Reuters no pudo verificar su reclamo de manera independiente.

Para ejecutar el hack, Avraham dijo que a las víctimas se les enviaría un mensaje de correo electrónico aparentemente en blanco a través de la aplicación Mail forzando un bloqueo y reinicio. El accidente abrió la puerta para que los piratas informáticos robaran otros datos en el dispositivo, como fotos y detalles de contacto.

ZecOps afirma que la vulnerabilidad permitió a los piratas informáticos robar datos de manera remota de los iPhones, incluso si estaban ejecutando versiones recientes de iOS. Por sí solo, la falla podría haber dado acceso a cualquier cosa a la que la aplicación de Correo tuviera acceso, incluidos los mensajes confidenciales.

Avraham, un ex investigador de seguridad de la Fuerza de Defensa de Israel, dijo que sospechaba que la técnica de pirateo era parte de una cadena de programas maliciosos, el resto sin descubrir, lo que podría haber dado a un atacante acceso remoto total. Apple se negó a comentar sobre esa perspectiva.

ZecOps descubrió que la técnica de hackeo de la aplicación Mail se usó contra un cliente el año pasado. Avraham describió al cliente objetivo como una “compañía de tecnología Fortune 500 norteamericana”, pero se negó a nombrarlo. También encontraron evidencia de ataques relacionados contra empleados de otras cinco compañías en Japón, Alemania, Arabia Saudita e Israel.

Avraham basó la mayoría de sus conclusiones en datos de “informes de fallos”, que se generan cuando los programas fallan a mitad de la tarea en un dispositivo. Luego pudo recrear una técnica que causó los accidentes controlados.

Dos investigadores de seguridad independientes que revisaron el descubrimiento de ZecOps encontraron la evidencia creíble, pero dijeron que aún no habían recreado completamente sus hallazgos.

Patrick Wardle, un experto en seguridad de Apple y ex investigador de la Agencia de Seguridad Nacional de EE. UU., Dijo que el descubrimiento “confirma lo que siempre ha sido un secreto bastante mal guardado: que los adversarios con recursos suficientes pueden infectar de forma remota y silenciosa dispositivos iOS completamente parcheados”.

Debido a que Apple no estaba al tanto del error del software hasta hace poco, podría haber sido muy valioso para los gobiernos y contratistas que ofrecen servicios de piratería. Los programas de explotación que funcionan sin previo aviso contra un teléfono actualizado pueden valer más de $ 1 millón.

Si bien Apple es visto en gran medida dentro de la industria de la seguridad cibernética como un alto estándar de seguridad digital, cualquier técnica de piratería exitosa contra el iPhone podría afectar a millones debido a la popularidad global del dispositivo. En 2019, Apple dijo que había alrededor de 900 millones de iPhones en uso activo.

Bill Marczak, investigador de seguridad de Citizen Lab, un grupo de investigación de seguridad académica con sede en Canadá, calificó el descubrimiento de vulnerabilidad como “aterrador”.

“Muchas veces, puedes consolarte con el hecho de que la piratería es evitable”, dijo Marczak. “Con este error, no importa si tienes un doctorado en ciberseguridad, esto comerá tu almuerzo”.

Reporte de Christopher Bing en Washingtong y Joseph Menn en San Francisco. Contribuciones de Jack Stubbs en Londres y Stephen Nellis en San Francisco; edición por Chris Sanders, Edward Tobin y Sonya Hepinstall

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí