Todo lo que debes saber sobre los nuevos fallos de seguridad de iOS y OS X

app-maliciosa-app-store

A menudo la gente considera los dispositivos de Apple más seguros que otros dispositivos con Windows y Android, pero un estudio reciente hace que seamos más cautos antes de hacer ese tipo de declaraciones.

Un grupo de investigadores de seguridad han descubierto graves vulnerabilidades de día cero tanto en los dispositivos iOS como en los ordenadores Mac con sistema operativo OS X, y que pueden poner a los usuarios de dichos equipos en alto riesgo de ataques cibernéticos.

Los investigadores han creado y publicado una aplicación maliciosa en la App Store que fue capaz de extraer los datos personales de los usuarios desde el Llavero (donde se almacenan las contraseñas) de OS X y también puede robar las contraseñas de iCloud, tus datos bancarios y las contraseñas de tus cuentas de correo.

¿Cuáles son las consecuencias?

En un artículo, titulado: "Unauthorized Cross-App Resource Access on MAC OS X and iOS", los investigadores afirman que una vez instalada, su aplicación puede obtener datos de aplicaciones como Dropbox, Facebook y Evernote, junto con todo el contenido de aplicaciones de mensajería, e incluso extraer las contraseñas de aplicaciones de seguridad como 1Password.

"Las consecuencias son nefastas. Por ejemplo, en Mac OS X 10.10.3, nuestra aplicación recuperó satisfactoriamente las contraseñas del Llavero del sistema y los tokens secretos de iCloud, de las cuentas de correo electrónico y de todas tus redes sociales, y los datos bancarios y contraseñas desde Gmail y Google Chrome."

Los investigadores también observaron que el ataque sólo es posible cuando los atributos del Llavero de la víctima son predecibles. Sin embargo, la mayoría de los servicios comparten el mismo nombre a través del Llavero.

llavero-osx

El fallo del llavero se deriva de su incapacidad para verificar que aplicación posee una credencial de llavero, e incluso el sistema operativo no comprueba las actividades sospechosas.

¿Cómo se saltaron las verificaciones de seguridad de Apple?

Resulta inquietante que la aplicación maliciosa fue capaz de eludir los controles de seguridad de Apple para la App Store, los cuales se suponen que están diseñados para garantizar que una aplicación no pueda acceder a los datos de otras aplicaciones sin permiso.

Sin embargo, la parte más preocupante en cuanto a la aplicación maliciosa es que fue aprobada por Apple y publicada en la App Store, y se supone que todas las aplicaciones son pre-examinadas por los ingenieros de seguridad de Apple precisamente para evitar que aplicaciones potencialmente maliciosas lleguen a publicarse.

Las fallas de día cero fueron descubiertas por un grupo de estudiantes chinos de la Universidad de Indiana, de la Universidad de Pekín y del Instituto de Tecnología de Georgia, e informaron a Apple sobre el problema en octubre del año pasado. Apple a su vez les pidió un plazo de 6 meses antes de hacerlo público.

Sin embargo, de acuerdo con su artículo, los problemas persisten y millones de usuarios de Apple todavía pueden verse afectados por estos fallos de día cero.

¿Cómo proteger tus dispositivos?

Será claro con ustedes, la única manera de protegerse plenamente contra estas vulnerabilidades es actualizando OS X y iOS con las últimas versiones disponibles.

Puede sonar extraño, pero para protegerse contra este tipo de vulnerabilidades, lo recomendable es que los usuarios de todas las plataformas reduzcan la cantidad de aplicaciones que instalan en sus dispositivos, y se limiten a instalar sólo las que realmente necesitan y aquellas en las que confían explícitamente.

Al momento de escribir este post todavía Apple no ha dicho nada al respecto, y siendo sincero estamos esperado que nos digan como pretenden resolver este gran problema.

About Domadis Cabrera

Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.

Deja tu respuesta

d74ca0a187f0ec6b40686c25dcd3d262557c7e84d8ef45591f