Vulnerabilidad en iOS permite ejecutar código malicioso en aplicaciones

Appstor

Se ha reportado un nuevo agujero de seguridad en iOS, el sistema operativo móvil de Apple, que permite la ejecución de código sin firmar por medio de aplicaciones, lo cual puede ser aprovechado por un atacante tener acceso a información guardada en el dispositivo y llevar a cabo diferentes acciones sin el permiso del usuario.

El fallo fue descubierto por Charlie Miller, quien además de darlo a conocer, él mismo lo puso a prueba en una aplicación benigna que se publicó en la AppStore a mediados de septiembre. Esta app tenía por nombre Instastock, y aunque a la vista del usuario sólo se desplegaba información en tiempo real de precio de acciones, también contaba una función que le permitía conectarse a un servidor remoto en segundo plano.

De acuerdo con Miller, desde el servidor es posible enviar comandos a la aplicación para que esta realice diferentes acciones, entre ellas tener acceso a la lista de contactos del usuario. Este fallo de seguridad elude las medidas de seguridad de Apple que previenen la ejecución de código no autorizado.

El experto en seguridad, quien ya es conocido por haber revelado en más de una ocasión problemas de seguridad en los productos de Apple (además de ganar varios concursos de Pwn2Own), señaló que informó la compañía de este error desde el 14 de octubre, y aunque hasta el momento no se ha lanzado ninguna solución, es de esperarse que esto sea corregido en la próxima actualización de iOS.

Miller también dijo que tras publicar los detalles de este problema su cuenta de desarrollador fue revocada y sus aplicaciones fueron eliminadas de la AppStore. Es evidente que a la compañía de la manzana no le ha hecho gracia la forma en que Miller decidió poner a prueba el error, pero también sorprende que la app haya superado el proceso de revisión que impone Apple a todos los desarrolladores de iOS y que tiene fama de ser muy riguroso.

Dejar respuesta

Please enter your comment!
Please enter your name here