Afirman que dos vulnerabilidades de iOS fueron explotadas por atacantes
Dos vulnerabilidades que Apple parcheó en su última actualización de iOS, la correspondiente a la versión 12.1.4, habrían sido explotadas con éxito por atacantes desconocidos antes de que Apple tuviera conocimiento de ellas. Esto es lo que asegura un ingeniero de seguridad de Google en un tuit.
Su autor, Ben Hawkes, jefe de equipo del grupo de investigación de seguridad Project Zero de Google, afirma en este mensaje publicado el jueves que las vulnerabilidades de día cero identificadas como CVE-2019-7286 y CVE-2019-7287 habían sido aprovechadas. Aunque, eso sí, no ha aportado más información.
CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.
— Ben Hawkes (@benhawkes) February 7, 2019
Las vulnerabilidades habían sido descubiertas por empleados de Google
La afirmación del empleado de Mountain View cobra más relevancia si se tiene en cuenta que la propia Apple ha atribuido a Samuel Groß y Ian Beer, de Project Zero de Google; Clement Lecigne, del Grupo de Análisis de Amenazas de Google; y a un investigador anónimo el descubrimiento de estos dos problemas de seguridad en su sistema operativo móvil.
Una de las vulnerabilidades afectaba a un componente del sistema y a la memoria, pudiendo obtener una aplicación privilegios elevados, mientras que la otra permitía potencialmente privilegios de kernel. En ambos casos, afectaba a iPhone 5s y posteriores, iPad Air y posteriores y iPod touch 6ª generación.
Con la actualización de iOS 12.1.4, los de Cupertino han solucionado las vulnerabilidades CVE-2019-7286 y CVE-2019-7287, así como otros dos identificados como CVE-2019-7288 y CVE-2019-6223 que afectaban a FaceTime.
Este último, encontrado por un estudiante de secundaria, ha dado especialmente que hablar en los últimos días dado que afectaba severamente la privacidad de los usuarios de este servicio de videollamadas de Apple.