Ya tenemos primera víctima (y primeros ganadores) en el Mobile Pwn2Own que ya os contábamos hace unos meses que sucedería por estas fechas, un evento dedicado a descubrir fallos de seguridad en dispositivos móviles. El primer fallo encontrado es en el navegador del iPhone, permitiendo que te roben tus fotos, lista de contactos e historial del navegador.
Algunos menospreciarán el hack por no involucrar tarjetas de crédito o algo relacionado con dinero, pero teniendo en cuenta que usamos el teléfono móvil casi más que la cámara principal, no creo que a nadie le guste que le roben su intimidad o, peor aún, la de su pareja. Los descubridores son un grupo de investigadores holandeses que actuaron sobre un iPhone 4S.
El fallo está presente en iOS 5.1.1 y la versión para desarrolladores que existía hasta hoy de iOS 6, aunque ya salió la oficial y esta podría ser otra buena razón para actualizar el teléfono, aunque los chicos de Certified Secure dicen que el fallo puede funcionar en el iPhone 5 también.
Yendo al meollo de fallo, se encuentra en el explorador web, concretamente en WebKit (fue hecho en solo semanas, de hecho los ataques más comunes son mediante el navegador, de ahí que el premio por encontrar uno de estos sea sólo de US$20.000). El fallo se explota a través de código malicioso incrustado en una web cualquiera o incluso en la publicidad de la misma, cuando WebKit ejecuta el mismo la seguridad de Safari se ve inutilizada (se bypass-ea), permitiendo enviar los datos ya mencionados a un servidor externo. Los detalles técnicos no han trascendido, como es costumbre en este tipo de eventos, ya que primero se envían al fabricante para que pueda parchearlos.
Otros investigadores, como Brian Gorenc (de HP DVLabs), quienes organizan el evento, tratan de echar las culpas fuera de Apple, ya que realmente el fallo es del motor WebKit. Lo bueno de todo es que Apple cuenta con un buen historial de tiempo de reacción frente a estos ataques o cualquier otro fallo de seguridad encontrado en sus equipos.