31 jul. 2019

Google Project Zero publica 6 vulnerabilidades de iPhone y watchOS

Un equipo de Google Project Zero publicó seis errores en el servicio de mensajería que haría a los usuarios de iPhone y WatchOS extremadamente vulnerables. En otras ocasiones, este equipo alertó a Microsoft, Facebook y Samsung, entre otros, sobre problemas con su código.
 
En uno de los casos reportados sobre iPhone, los investigadores dijeron que "la vulnerabilidad era tan grave que la única forma de rescatar un iPhone que había sido atacado sería eliminar todos los datos que tenía almacenados". Otra de las fallas permitiría que se hicieran copias de los archivos de un dispositivo sin la autorización del propietario.

La semana pasada Apple corrigió estos errores (CVE-2019-8647, CVE-2019-8660, y CVE-2019-8662), pero los investigadores afirman que encontraron una sexta falla que no ha sido corregida con la más reciente actualización del sistema operativo.

El quinto y sexto bug (CVE-2019-8624 y CVE-2019-8646) permitiría a un atacante filtrar información de la memoria del dispositivo y leer archivos de forma remota, sin interacción del usuario. ZDnet señala que el nivel de detalle compartido por Google sobre los otros errores podría ser suficiente para permitir que los delincuentes intentaran explotar esas debilidades.

Natalie Silvanovich, una de las investigadoras de Google, planea compartir más detalles de sus hallazgos durante el evento de seguridad informática Black Hat, que tendrá lugar en agosto en Las Vegas.

Según la sinopsis de su presentación, Silvanovich también hablará de posibles fallas del servicio de buzón de voz visual de Apple, que permite ver una lista de los mensajes y elegir cuáles se quiere escuchar o eliminar. También presentará posibles debilidades en la app de correo de Apple.

Uno de los jefes de seguridad de Apple también participará en este evento, donde ofrecerá una charla en la que promete mostrar "el detrás de cámaras de la seguridad de iOS y Mac".

Las vulnerabilidades como esta que son vendidas en el mercado de exploits pueden superar el millión de dólares, de acuerdo al precio publicado por Zerodium o incluso 2 a 4 millones de acuerdo a Crowdfense.

Por eso, Apple afirma que los usuarios deben descargar iOS 12.4 y watchOS 5.3 "sin demora".

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!