El 90% de los usuarios de iPhones son vulnerables a fallos de iOS

  • Vulnerabilidades

Los fallos pueden explotarse de forma remota sin ninguna interacción del usuario a través del cliente iMessage, y revelar imágenes, videos, notas, archivos PDF y otros datos almacenados en el teléfono. La actualización de iOS 12.4 que corrige estos fallos ha sido instalada por muy pocos.

La gran mayoría de los usuarios de Apple iOS no se han actualizado a iOS 12.4, quedando totalmente expuestos a un exploit público. Concretamente, más del 90% de los usuarios de iPhones de Apple, tanto consumidores como empresas, siguen siendo vulnerables a los errores en iOS que pueden explotarse de forma remota sin ninguna interacción del usuario a través del cliente iMessage, y que pueden pueden revelar imágenes, videos, notas, archivos PDF, etc., almacenados en el teléfono.

Aunque Apple ha reparado por completo cinco de los seis defectos críticos revelados a principios de esta semana por el Proyecto Cero de Google, con la actualización 12.4 de iOS, a fecha de 1 de agosto solo el 9,6% se han actualizado, señalan desde Wandera.

Los errores más graves son CVE-2019-8624 y CVE-2019-8646, que permiten a un atacante leer archivos de un dispositivo iOS de forma remota, sin ninguna interacción de la víctima. El código para explotar estas vulnerabilidades está disponible públicamente, por lo que cualquier persona con un dispositivo MacOS y el número de teléfono o los detalles de la cuenta de iMessage de una víctima podría atacar y espiar a un objetivo.

El exploit inicia un volcado de la base de datos de iMessage de la víctima y compromete el sandbox de iOS, poniendo en riesgo los archivos en el dispositivo. Esta vulnerabilidad pone en tela de juicio la integridad del sandboxing de iOS, que es uno de los fundamentos más importantes de todo el modelo de seguridad de iOS.

El parche para iOS se lanzó el 22 de julio, pero no se han enviado notificaciones a los usuarios - Los propietarios de iPhones deben visitar manualmente la sección "actualización de software" en el área de Configuración e iniciar la descarga.