Un sistema de monitorización se implantaba en el dispositivo con solo visitar un grupo de webs pirateadas
30 ago 2019 . Actualizado a las 15:50 h.El grupo de análisis de amenazas de Google (TAG) ha dado a conocer que los iPhone han estado sometidos durante más de dos años a una operación de hackeo sin precedentes que dejó al descubierto todos los datos de los usuarios presentes en el teléfono.
De acuerdo con una publicación del blog de Project Zero que recoge Europa Press, el equipo de Google que investiga las vulnerabilidades de seguridad, con solo visitar un pequeño número de páginas webs que habían sido hackeadas se implantaba en el dispositivo un sistema de monitorización aprovechando una vulnerabilidad en el sistema operativo iOS. Los hackers «han hecho un esfuerzo constante para hackear a los usuarios de iPhones en ciertas comunidades durante un periodo de al menos dos años", afirma un miembro del equipo Project Zero, Ian Beer.
El sistema de ataque consistía en que el usuario entraba en la página web hackeada, y el atacante podía acceder a su servidor e instalar un sistema de monitorización en su dispositivo que permitía obtener el control absoluto del mismo y, con ello, el acceso a todos sus datos. Según Beer, se trata de páginas que «reciben miles de visitantes por semana».
TAG ha descubierto cinco cadenas de explotación (exploit) de los móviles iPhone que afectaban a versiones desde iOS 10 hasta la última de iOS 12. En total han encontrado catorce vulnerabilidades, que han sido siete del navegador web de iPhone, cinco para el núcleo y dos sandbox separados -un aislamiento de procesos que usa el sistema para ejecutar programas-, que permiten introducir código malicioso en un dispositivo desde el exterior.
Google comunicó esta situación a Apple el 1 de febrero del 2019 poniéndole como fecha límite una semana para que solucionara el problema, que coincidía con el lanzamiento del iOS 12.1.4. Apple lanzó entonces un parche para corregir la vulnerabilidad el 7 de febrero, hecho que hizo público a través de su página web.
Por otra parte, a finales de julio, el grupo de expertos de ciberseguridad y detección de vulnerabilidades de Google, Project Zero, publicó seis fallos de seguridad «sin interacción» del sistema operativo iOS, de los cuales cinco fueron parcheados exitosamente el 22 de julio.
Dos expertos de Project Zero detectaron seis vulnerabilidades que afectaban a los dispositivos iOS sin ningún interacción por parte del usuario afectado, y han publicado los códigos de demostración de la explotación de los cinco que se han corregido.
Los fallos identificados permitían la entrada en el dispositivo a través de un mensaje malicioso en la aplicación de iMessage; con tal de que el usuario abriese el mensaje, el atacante ya tenía acceso al terminal. Cuatro de las vulnerabilidades (CVE-2019-8647, CVE-2019-8660, y CVE-2019-8662) permitían la ejecución de un código malicioso con el envío del mensaje cifrado, mientras que los otros dos (CVE-2019-8624 y CVE-2019-8646) permitían la filtración de datos.