El equipo de investigación de Google Project Zero ha dado a conocer un total de seis fallos de seguridad encontrados en iOS. Las grietas en el sistema se conocen como vulnerabilidades sin interacción, es decir, el atacante no necesita una interacción total por parte del usuario.
Los fallos se aprovechan de vulnerabilidades en el cliente iMessage. Cuatro de ellos dependen de que un atacante envíe un mensaje que contiene código malicioso que se ejecuta tan pronto el usuario abre el mensaje. Las dos restantes permiten filtrar datos de la memoria y leer archivos de un dispositivo remoto.
Las seis vulnerabilidades ya fueron parchadas en la versión más reciente de iOS 12.4, aunque una de ellas no se resolvió por completo, razón por la cual Google no publicó más detalles del fallo. De acuerdo con ZDNet, este tipo de exploits son muy populares entre los atacantes ya que permiten hackear el teléfono sin que el usuario se dé cuenta.
Zerodium, una empresa que se dedica a ofrecer recompensas de exploits zero-day — como los reportados por Project Zero —, dijo que la información ofrecida por los expertos de seguridad de Google generaría una recompensa de hasta 10 millones de dólares, mientras que Crowdfense asegura que cada exploit se pagaría entre 2 y 4 millones de dólares.
Aquellos que cuenten con un dispositivo iOS es necesario actualizarlo a la última versión de iOS para evitar que su teléfono quede vulnerable a uno de estos fallos. Los investigadores de Project Zero publicaron detalles específicos de cinco de los seis exploits con todos los detalles técnicos.
Project Zero fue anunciado a mediados de 2014 como un proyecto especial de Google para hacer la web más segura. La empresa contrató a hackers y expertos en seguridad para combatir a otros agentes maliciosos. Una de las principales razones para crearlo fue Heartbleed, una vulnerabilidad en OpenSSL que permitía a los hackers acceder a la memoria de un servidor y recuperar datos de los usuarios.