Google sorprende a los usuarios de iPhone, iPad y Mac de Apple: se revelan «numerosas nuevas vulnerabilidades»
Google, al parecer, acaba de hacerlo de nuevo. El año pasado, los cazadores de errores de élite del gigante tecnológico, Project Zero, causaron un gran revuelo en los medios de comunicación al revelar vulnerabilidades de seguridad en Apple iOS que permitían hackear los dispositivos. Resultó que los hackeos, atribuidos a China, no se limitaban sólo a Apple, y Google recibió algunas críticas. Ahora, el mismo equipo de Google ha lanzado otra revelación sorpresa «centrada en el ecosistema de Apple», en la que se examinan las vulnerabilidades básicas que podrían proporcionar a los atacantes un punto de entrada.
El momento del informe de Google, titulado tentadoramente «Fuzzing ImageIO», es tan interesante como su contenido. En la última semana hemos visto dos problemas de seguridad de Apple en los titulares de todo el mundo. En primer lugar, un informe de seguridad que afirma que la propia aplicación de correo de Apple puede bloquearse con un correo electrónico malintencionado, abriendo una puerta trasera para otros exploits, y luego la historia naturalmente viral de la bomba de texto.
MÁS DE FORBESCuidado: esta nueva «bomba de texto» maliciosa para el iPhone bloquea iOS 13: esto es lo que debes hacerPor Zak Doffman
El denominador común de estas historias recientes es la advertencia de que el procesamiento básico del sistema puede ser explotado. Al desencadenar una respuesta de software inesperada en un dispositivo, se puede hacer que los controles habituales bloqueados se comporten de forma impredecible. Y eso abre la puerta a un ataque, a menudo utilizando un vector completamente diferente. Lo interesante es que incluso las funciones básicas utilizadas por miles de millones de personas -el correo electrónico y la mensajería- siguen teniendo ese potencial para abrir una puerta trasera.
Y es este mismo tema el que informó ayer (28 de abril) el equipo del Proyecto Cero de Google, que ha «descubierto numerosas vulnerabilidades nuevas que ya han sido corregidas». Las vulnerabilidades se describen como «un viejo tipo de problema», dirigido a los archivos multimedia enviados a través de plataformas de mensajería» en el marco de ImageIO. Según el informe de Google, múltiples vulnerabilidades «fueron encontradas, reportadas a Apple o a los respectivos mantenedores de la biblioteca de imágenes de código abierto, y posteriormente corregidas».
Y así, desde la perspectiva del usuario, si ha actualizado su sistema operativo como siempre debería, estará protegido. Bueno, más o menos, no es tan sencillo. Google advierte que incluso a través de las fallas reveladas no fueron suficientes para permitir una toma de posesión del dispositivo o una exfiltración de datos grave, «dado el esfuerzo suficiente, algunas de las vulnerabilidades encontradas pueden ser explotadas en un escenario de ataque.» Y ese es básicamente el tipo de riesgo que se alega para la vulnerabilidad del correo de Apple. Sin embargo, Google también advierte que «también es probable que otros errores permanezcan o se introduzcan en el futuro».
MÁS DE FORBESCuidado: esta nueva y maliciosa «bomba de texto» para el iPhone bloquea iOS 13: esto es lo que debes hacerPor Zak Doffman
Técnicamente, el uso de imágenes para exponer vulnerabilidades no es infrecuente. En los últimos meses hemos visto informes que afectan a populares plataformas de mensajería que hacen exactamente eso. Cuando se recibe una imagen, el dispositivo tiene que analizar los datos para saber cómo gestionarla y mostrarla: qué lector y qué parámetros de manejo. La mayor parte de lo que enviamos son JPEG, GIF o PNG comunes, pero, según Google, «también hay numerosas imágenes bastante exóticas».
Google puso a prueba la seguridad de Apple mediante el «fuzzing» de las imágenes, es decir, aleatorizando los datos de forma que el dispositivo no supiera cómo manejarlos y pudiera caer en el intento. El enfoque de Google no pretendía ser exhaustivo, sino ilustrativo, y han señalado que una versión más sofisticada del mismo enfoque podría haber dado mejores resultados. No hicieron un seguimiento del fuzzing de imágenes con otros exploits para aprovechar el fallo inicial.
Se encontraron un montón de vulnerabilidades, se divulgaron y se han parcheado, de ahí el informe. Google sugiere a los proveedores que adopten «pruebas fuzz continuas», y también recomienda que las plataformas de mensajería rechacen todos los formatos de imagen, excepto los más comunes, «al menos para las vistas previas de los mensajes que no requieren interacción». Cuanto menos posibilidades de ataque haya, mejor, y como señala el equipo «eso reduciría la superficie de ataque de unos 25 formatos de imagen a sólo un puñado o menos».
Estos problemas afectarían a todos los sistemas operativos de Apple antes de ser parcheados. El uso de este tipo de vector de ataque para hacer que un dispositivo sea vulnerable antes de ser atacado suele ser fundamental para los ciberataques sofisticados, incluso a nivel de estado-nación. Los grupos de amenazas premian los exploits que pueden estar seguros de que se ejecutarán en los dispositivos objetivo, por lo que se centran en el procesamiento del sistema operativo principal o en plataformas de hiperescala como WhatsApp.
Mientras tanto, Apple espera que esto ponga fin a unos días bastante tórridos de revelaciones de seguridad. La compañía ha parcheado estos problemas y está haciendo lo mismo con las vulnerabilidades de correo y texto. Pero, como siempre, es un problema para la confianza de los usuarios. Y para Apple, que se basa en la seguridad de su plataforma, nunca es bueno ver estas historias en los titulares de los medios.