Un grupo de investigadores del Proyecto Cero de Google, que tiene como misión investigar las posibles fallas de seguridad día cero de los dispositivos, ha encontrado una suerte de exploit, que a través de la web, lleva apuntando a usuarios de iPhone durante año, sin que hasta ahora nadie se haya dado cuenta del problema. El grupo lo ha calificado como "uno de los mayores ataques contra usuarios de iPhone".
Apple lanza la actualización que corrige el fallo de FaceTime
Estos ataques utilizaban una serie de sitios web pirateados para colar de forma aleatoria malware a usuarios del iPhone sin que fueran consciente de los ataques. Y es que a diferencia de otros ataques, esta vez no estaban dirigidos a un grupo concreto de usuarios, puesto que según los investigadores el malware intentaba colarse de forma indiscriminada, independientemente del país o la región del iPhone, de forma que los usuarios podrían verse afectados simplemente visitando uno de los sitios pirateados.
Además, los ataques eran capaz de colar malware a varios modelos de iPhone con diferentes versiones de iOS, puesto que afectaba que a dispositivos con iOS 10 y a todas las versiones de iOS 12. Uno de estos agujeros de seguridad era del tipo día cero, es decir del que nadie era consciente de su existencia:
Descubrimos exploits para un total de catorce vulnerabilidades en cinco cadenas: siete para el navegador web del iPhone, cinco para el kernel y para el sandbox. El análisis inicial indicó que al menos una de las cadenas de escalada de privilegios seguía siendo de día cero y sin parches al momento del descubrimiento. - Comunicado de los investigadores.
Todos estos agujeros de seguridad ya han sido parcheados por Apple en diferentes actualizaciones, incluyendo el de iOS 12.1.4, que arreglaba el error de escucha de FaceTime y el resto problemas de seguridad descubiertos por el equipo del Proyecto Cero.