El equipo de analistas de ciberseguridad de Google encargados de encontrar ataques de día cero ha demostrado cómo una vulnerabilidad presente en una antigua versión de iOS permitía a un atacante acceder a los iPhone de forma remota y sin interacción del usuario en cuestión de minutos.
Uno de los investigadores de Project Zero, Samuel Groß, explica en el primer artículo de los tres que publicará sobre la vulnerabilidad identificada como CVE-2019-8641 hacía posible un ataque solo con conocer el ID de Apple de la víctima siempre que se llevase a cabo sobre un dispositivo con iOS 12.4.
Con solo el ID de Apple y unos minutos
Con el número de teléfono móvil o la dirección de correo electrónico perteneciente a la cuenta de Apple del usuario, explica el analista, se podía explotar la vulnerabilidad y "obtener el control remoto del dispositivo iOS del usuario en pocos minutos" pudiendo extraer archivos, contraseñas, códigos 2FA, mensajes de texto, correos electrónicos y otra información personal o de aplicaciones presente en el dispositivo.
El ataque también permitía activar remotamente el micrófono y la cámara del iPhone sin que la persona que utiliza el dispositivo reciba ningún tipo de aviso.
Este problema de seguridad fue hallado como parte de un proyecto de investigación de vulnerabilidades conjunto con Natalie Silvanovich y reportado a los de Cupertino a mediados del año pasado, concretamente el 29 de julio de 2019, junto una prueba de concepto del exploit días más tarde.
Apple corrigió parcialmente el problema en iOS 12.4.1, versión publicada el 26 de agosto, y finalmente el 28 de octubre de 2019 con el lanzamiento de iOS 13.2.
Ver 3 comentarios