Apple acaba de publicar una actualización de seguridad de emergencia que soluciona una única vulnerabilidad día cero para sus dispositivos móviles, incluidos iPhones, iPads y Apple Watches.
Incluso los usuarios de iPhones y iPads más antiguos que todavía están en la versión iOS 12 con soporte oficial deben parchear, por lo que las versiones a las que debería actualizar son las siguientes:
- iOS 14 (iPhones recientes): actualización a 4.2
- iOS 12 (iPhones y iPads más antiguos): actualice a 5.2
- iPadOS 14: actualización a 4.2
- watchOS: actualización a 3.3
Para comprobar si tienes la última versión e instalarla de inmediato si no la tienes, ve a Configuración> General> Actualización de software.
Si te estás preguntando por qué no hay una actualización de iPadOS con el número 12.5.2, es porque no había un producto con un nombre llamado “iPadOS” hasta que salió la versión 13.
Hasta la versión 12 inclusive, tanto los iPads como los iPhones usaban la versión llamada “iOS”.
Todo lo que Apple dice sobre la vulnerabilidad hasta ahora es que:
El procesamiento de contenido web creado con fines malintencionados puede generar secuencias de comandos universales entre sitios. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.
La versión para todos es: “Los delincuentes han encontrado una manera de engañar a tu navegador para que les dé acceso a datos privados que se supone que no deben ver, y por lo que sabemos, ya están abusando de este error para hacer cosas malas”.
WebKit
Al igual que el último parche de emergencia de Apple, esta vulnerabilidad afecta a WebKit, el código principal del navegador web de Apple.
Aunque WebKit en sí no es un navegador completo, es, sin embargo, el corazón de todos los navegadores que hayas usado en tu iPhone, no solo el navegador Safari de Apple.
Eso es porque Apple no permite aplicaciones en tu dispositivo si no provienen de la App Store y no permite navegadores en su App Store si no usan WebKit.
(De acuerdo, existen formas oficiales de instalar aplicaciones corporativas que no son de Apple en dispositivos administrados, pero para la mayoría de los usuarios, y en la mayoría de los iPhones, todas las aplicaciones vienen a través de Apple).
Como resultado, incluso los navegadores como Firefox (que generalmente usa el motor del navegador de Mozilla), así como Google Chrome y Microsoft Edge (que generalmente usan el motor del navegador Chromium), se ven obligados a depender internamente de WebKit cuando se ejecutan en dispositivos Apple.
Además, WebKit es el software que se ejecuta cada vez que aparece una aplicación, incluso el contenido web más básico en una ventana, por ejemplo, para mostrar la pantalla “Acerca de” o para dar instrucciones sobre cómo usar la aplicación.
En otras palabras, un problema de seguridad en WebKit afecta a cualquier navegador que se haya instalado, incluido Safari de Apple, y podría afectar a muchas otras aplicaciones si tienen alguna opción que abre una ventana web para mostrar información.
XSS universal
La última vez que Apple hizo una actualización de emergencia, en enero de 2012, la empresa corrigió dos errores que permitían a los ciberdelincuentes realizar lo que se conoce como ataques RCE y EoP, abreviatura de ejecución remota de código y elevación de privilegios.
Hablando en términos generales, RCE les permite conectarse como un usuario normal, y EoP les permite promocionarse a sí mismos como administrador de sistema después de ingresar, una especie de ataque doble que obviamente es muy serio y podría llevar a un compromiso total del dispositivo afectado.
Esta vez, la actualización parchea lo que se conoce como vulnerabilidad UXSS, abreviatura de scripts universales de sitios cruzados.
Aunque UXSS no suena tan serio como RCE (lo que implica que un delincuente podría implantar malware directamente a voluntad), los errores de UXSS pueden ser devastadores para la privacidad, la seguridad y la cartera.
En pocas palabras, una vulnerabilidad UXSS significa que el propio WebKit puede ser engañado para que viole uno de los principios más importantes de la seguridad del navegador, conocido como Política del Mismo Origen (SOP).
SOP
La Política del mismo origen dicta que solo el contenido web proporcionado por el sitio web X puede acceder a los datos almacenados, como las cookies web, que se relacionan con el sitio X.
Como probablemente sepas, las cookies web y el almacenamiento web local existen para que los sitios web puedan realizar un seguimiento de los usuarios.
Las cookies, por ejemplo, se pueden utilizar para almacenar las preferencias que elijas, para recordar si ya se aceptó un contrato de licencia o no, y para determinar si ya has iniciado sesión y, de ser así, qué usuario.
A pesar de lo intrusivo que puede ser a veces el seguimiento web, especialmente cuando se utiliza con fines de marketing agresivos, es una parte vital de la web moderna.
Si los sitios web no pueden configurar cookies para almacenar algún tipo de token de autenticación (por lo general, una cadena larga y aleatoria de caracteres única para su sesión actual) para indicar que ingresaste recientemente tu nombre de usuario y la contraseña correcta, entonces no existiría el concepto de haber “Iniciado sesión” en un sitio web en absoluto.
Deberías ingresar tu nombre de usuario y contraseña cada vez que visites cualquier página del sitio, no podrías decirle al sitio web “por favor, muéstreme la versión en español en lugar de la versión en inglés la próxima vez que visite”, y no habría ninguna forma de realizar un seguimiento de cosas como los carritos de la compra.
Claramente, es vital que las cookies configuradas para un sitio web no puedan ser espiadas por otro.
Como puedes imaginar, si el sitio web X pudiera enviar código JavaScript para acceder a las cookies y los datos web locales del sitio web Y, sería un desastre de seguridad.
Sin el SOP, un sitio de videos de gatos de apariencia inocente podría, si quisiera, leer las cookies de autenticación de tus cuentas de redes sociales y revisarlas en segundo plano, fingiendo ser tú, incluso después de que hayas terminado de ver los videos.
Sin el SOP, podrías terminar gastando dinero que no pretendías, o registrándote en servicios que no deseas, o dando a los ciberdelincuentes acceso a datos personales de tus perfiles en línea.
XSS y SOP
Los errores de XSS, donde XSS significa secuencias de comandos entre sitios, son la forma más común en que los ciberdelincuentes violan la Política del mismo origen para obtener acceso ilegal a datos privados en tus cuentas en línea.
Por lo general, los ataques XSS existen debido a errores en un sitio web específico, lo que significa que los delincuentes solo pueden atacar a los usuarios de ese sitio web.
Por ejemplo, si puedo engañar a tu sitio web para que devuelva una página de resultados de búsqueda que incluye no solo el texto que acabo de buscar, sino también un fragmento de JavaScript ejecutable, entonces tengo una forma de realizar un ataque XSS contra tu sitio.
Esto se debe a que, cuando tu sitio devuelve mi JavaScript proporcionado de forma malintencionada dentro de una de tus propias páginas web, mi JavaScript de repente obtiene acceso a todas tus cookies y datos web locales, lo que se supone que no debo tener.
Eso es bastante malo, pero los trucos XSS del lado del servidor generalmente solo afectan un sitio web a la vez, y el operador de ese sitio puede arreglar el agujero de seguridad para todos al parchear el servidor.
Un error de Universal XSS, que es lo que tenemos aquí, es mucho más grave y recibe el nombre de “universal” porque no se limita a un sitio web específico.
En pocas palabras, un error de UXSS generalmente significa que los atacantes pueden realizar trucos XSS directamente dentro de tu navegador, de modo que:
- Todos los sitios web que visitas se ven afectados por el error, al menos en teoría, incluidos los sitios que no tienen agujeros de seguridad propios.
- Necesitas parchear la vulnerabilidad tú mismo, porque el error está en tu navegador, no en ningún servidor web individual.
- No puedes eludir el error simplemente evitando servidores web específicos hasta que sean reparados.
¿Qué hacer?
Ya lo dijimos: ¡actualiza ya!
Como se indica en la parte superior del artículo, ve a Configuración> General> Actualización de software para asegurarte de tener la actualización; al hacer esto, se te indicará que estás bien o podrás instalar la actualización si no lo estás.
Hay más información disponible en las páginas de seguridad oficiales de Apple para iOS y iPadOS 14.4.2, para iOS 12.5.2 y para watchOS 7.3.3.
Sin embargo, al momento de escribir estas páginas no dicen nada más que: hay una vulnerabilidad UXSS en WebKit, es posible que los atacantes ya estén explotando este error, fue informado por investigadores de Google, y el error se conoce oficialmente como CVE-2021-1879.
Dejar un comentario