Mientras en el popular iPhone Dev Wiki comienza a hablarse del primer programa no autorizado por Apple que puede ser ejecutado en el iPhone, The New York Times acaba de hacerse eco de la que puede ser la primera vulnerabilidad grave descubierta en el iPhone, que permite apoderarse por completo del aparato a partir de una simple visita a una web maliciosa.
El compromiso del iPhone puede partir también de la apertura de un enlace en un correo electrónico o un SMS, o de la conexión a un punto de acceso inalámbrico controlado por el atacante. En cualquier caso, a través del navegador Safari se produce la ejecución del código malicioso con privilegios de administrador...
En la prueba de concepto realizada, el fallo permite al atacante leer los mensajes de texto, la agenda de direcciones, el historial de llamadas y acceder a datos del buzón de voz. A continuación el iPhone transmite toda esa información al atacante. No obstante, cualquier cosa que el iPhone pueda hacer puede ser explotada también por un atacante: grabar conversaciones y enviarlas, robar contraseñas de correo, etc.
Además, los descubridores afirman que la vulnerabilidad explotada está también presente en las versiones de Safari para Windows y Mac, si bien no han verificado su explotabilidad en esas plataformas.
El descubrimiento procede de la empresa norteamericana ISE (Independent Security Evaluators), cuyo principal analista es Charles Miller, un doctor en informática que ha trabajado anteriormente para la NSA.
El hallazgo ha sido remitido a Apple y parece totalmente creíble, aunque los detalles se revelarán la semana próxima en BlackHat.
No hay comentarios:
Publicar un comentario