Vulnerabilidad día cero en Apple iOS, actualiza ya

Apple acaba de publicar la versión 9.3.5 de iOS, que incluye los últimos parches de seguridad. Te aconsejamos que la instales lo antes posible ya que soluciona tres graves vulnerabilidades:

• WebKit bug: permite crear páginas web que simplemente con visitarlas pueden ejecutar código remoto.
• Kernel bug: una app puede revelar memoria kernel.
• Kernel bug: una app puede ejecutar código remoto con privilegios kernel.

Es fácil imaginarse como estas tres vulnerabilidades pueden combinarse para crear un exploit muy serio, de manera que con simplemente visitar una web maliciosa podrán ejecutar código de manera remota y, además, tendrán “superpoderes” kernel.

La seguridad de iOS realiza un gran trabajo asegurando mantener a raya las aplicaciones, así el malware solo puede disponer de privilegios nivel usuario, limitando mucho su peligrosidad. Por ejemplo, si instalas una app de GPS maliciosa, esta no podrá acceder a tu app de autentificación para acceder a tus claves criptográficas, sólo tendrá acceso al GPS lo que, aún así, ya es bastante para preocuparse.

Sin embargo, si puede acceder al kernel de iOS podrá realizar muchísimas más cosas, ya que tendrán acceso completo a tu dispositivo.

La mala noticia es que ya se ha detectado este tipo de súper ataque. Según Gizmodo, lo ha creado NSO Group, una empresa israelí que vende exploits y servicios de hacking.

Irónicamente, iOS 9.3.4 solo tiene tres semanas de vida, y esa versión también surgió apresuradamente para solucionar otros problemas de seguridad.

Es interesante recordar que Zerodium, otra empresa de hacking, ofrecía el año pasado tres millones de dólares por una vulnerabilidad de este tipo. Además, justo antes de que acabara el plazo, afirmaron que habían recibido un bug que podía ser usado para realizar un jailbreak.

Desconocemos si ese bug existía o no, o si es uno de los tres parcheados en esta ocasión. Lo que sí sabemos es que debes asegurarte de que tu versión de iOS es la 9.3.5, de no ser así, actualiza ya.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: