El error de iMessage te permite ser pirateado con solo un mensaje

Inicio » Apple

Icono de tiempo de lectura 3 minuto. leer

Icono de calendario Publicado el

by Atiya Davids 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

En la conferencia de seguridad Black Hat en Las Vegas, la investigadora de Google Project Zero, Natalie Silvanovich, demostró errores sin interacción en el cliente iOS iMessage de Apple que podrían explotarse para obtener el control del dispositivo de un usuario.

Apple lanzó algunos parches para los errores, pero todavía tiene que solucionarlos todos.

Estos pueden convertirse en el tipo de errores que ejecutarán el código y eventualmente podrán usarse para cosas armadas como acceder a sus datos.

Entonces, el peor de los casos es que estos errores se utilicen para dañar a los usuarios.

Silanovich trabajó con el miembro de Project Zero, Samuel Groß, para investigar si otras formas de mensajería, incluidos SMS, MMS y correo de voz visual, estaban comprometidas. Después de realizar ingeniería inversa y buscar fallas, descubrió múltiples errores explotables en iMessage.

Se cree que la razón es que iMessage ofrece una gama tan amplia de opciones y características de comunicación que hacen que los errores y las debilidades sean más probables, por ejemplo, Animojis, renderizar archivos como fotos y videos e integración con otras aplicaciones, como Apple Pay, iTunes, Airbnb, etc.

Un error sin interacción que se destacó fue uno que permitió a los piratas informáticos extraer datos de los mensajes de un usuario. El error permitiría al atacante enviar textos específicamente diseñados al objetivo, a cambio del contenido de sus mensajes SMS o imágenes, por ejemplo.

Si bien iOS generalmente tiene protecciones que bloquearían el ataque, este error se aprovecha de la lógica subyacente del sistema, por lo que las defensas de iOS lo interpretan como legítimo.

Dado que estos errores no requieren ninguna acción por parte de la víctima, los vendedores y los piratas informáticos de los estados nacionales los prefieren. Silanovich descubrió que las vulnerabilidades encontradas podrían valer decenas de millones de dólares en el mercado de exploits.

Errores como este no se han hecho públicos durante mucho tiempo.

Hay mucha superficie de ataque adicional en programas como iMessage. Los errores individuales son razonablemente fáciles de parchear, pero nunca puede encontrar todos los errores en el software, y cada biblioteca que use se convertirá en una superficie de ataque. Entonces, ese problema de diseño es relativamente difícil de solucionar.

Si bien no encontró errores similares en Android. también los ha encontrado en WhatsApp, Facetime y el protocolo de videoconferencia webRTC.

Tal vez esta es un área que se pierde en seguridad.

Hay una gran cantidad de enfoque en la implementación de protecciones como la criptografía, pero no importa qué tan buena sea su criptografía si el programa tiene errores en el extremo receptor.

Silanovich le aconseja que mantenga actualizado el sistema operativo y las aplicaciones de su teléfono, ya que Apple recientemente corrigió todos los errores de iMessage que presentó, en iOS 12.4 y macOS 10.14.6.

Fuente: cable

Más sobre los temas: manzana, error, iMessage

Atiya Davids

Atiya Davids Proteccion

Noticias Reportero

Deje un comentario

Su dirección de correo electrónico no será publicada. Las areas obligatorias están marcadas como requeridas *