Un investigador de ciberseguridad chino detectó y publicó información crítica del navegador Safari de Apple que permitiría liberar y comprometer la seguridad de los iPhone X con iOS 12.1.2 y anteriores.
Para realizar este ataque lo único que se necesita es que el usuario acceda a una web diseñada para ese propósito en el navegador Safari, nada más. Sin embargo, crear estos exploits tras encontrar un fallo en la seguridad de iOS no es una tarea fácil.
El experto Qixun Zhao del Qihoo 360’s Vulcan Team descubrió esta vulnerabilidad y creó un exploit para ver hasta donde podía llegar. Dicho ataque se aprovechaba de dos vectores de intrusión, un error de corrupción en la memoria en Safari WebKit de Apple y un problema de uso después de realizar un Jailbreak sobre el dispositivo (iOS Kernel).
Zhao demuestra que tras acceder a una página web especialmente diseñada para aprovecharse de estos fallos, desde Safari, esta misma ejecuta un código en el teléfono que se aprovecha del error para escalar los privilegios del sistema e instalar una aplicación maliciosa de forma silenciosa.
Antes de enseñar esta información, le cedió la información a la compañía para que solucionaran el error y, poco después, Apple publicó una actualización que solventaba esta incidencia. Además, no publicó el código para iOS Jailbreak, evitando así que los cibercriminales puedan usar esta información para desarrollar futuros exploits.
Desde Intec os recomendamos que actualicéis vuestro dispositivo Apple a la última versión de iOS publicada.