El día de ayer dimos mucha información relacionada con Meltdown y Spectre, los dos problemas de seguridad descubiertos en los procesadores que han puesto patas arriba el mundo de la computación.
En un principio parecía algo que solo afectaba a Intel, pero luego se fue descubriendo que Spectre afecta prácticamente a casi cualquier arquitectura de CPU, mientras que Meltdown ha tenido un alcance más limitado, centrándose sobre todo en Intel, aunque Arm ha reconocido que algunos procesador Cortex eran vulnerables, por lo que presentó rápidamente un parche para el kernel Linux.
Mientras Intel, AMD, Arm, Microsoft (por Windows), Google (sobre todo por Android y Chrome OS) y Linux centraban la atención de los medios, había unos de los gigantes de la computación que estaba pasando un tanto desapercibido entre tanto bullicio: Apple. A pesar de no haber hecho mucho ruido en torno a estos dos grandes problemas de seguridad, en MuySeguridad nos hicimos eco de que las computadoras Mac habían recibido al menos un parche para acabar con Meltdown, pero había otro producto muy conocido que se había quedado fuera de los focos: el iPhone (y los dispositivos iOS en general).
Apple nunca se ha caracterizado por ser muy transparente en su política de seguridad, y a veces la manera en que ha gestionado ciertas incidencias ha sido criticada. Sin embargo, posiblemente para evitar las especulaciones, el gigante de Cupertino ha dado un paso hacia delante para admitir que sus conocidos y caros smartphones (referencia indiscutible en la gama alta) son vulnerables frente a Spectre y Meltdown.
En el comunicado oficial, la compañía ha reconocido que “todos los sistemas Mac y dispositivos iOS están afectados (por Meltdown y Spectre), pero de momento no hemos visto que los exploits hayan impactado a los clientes. Debido a que la explotación de muchos de estos problemas requiere de una aplicación maliciosa para ser cargados en un dispositivo Mac o iOS, recomendamos descargar software solo desde fuentes confiables como la App Store.”
Apple ha señalado que iOS 11.2, macOS 10.13.12 y tvOS 11.2 están ya protegidos de Meltdown, por lo que se puede decir que ha reaccionado con diligencia para tapar la única vulnerabilidad que permite su explotación. Por otro lado, ha prometido suministrar cuanto antes actualizaciones para al menos mitigar las dos vulnerabilidades relacionadas con Spectre. Safari, el navegador web de la propia compañía, también recibirá parches para mitigar la explotación de Spectre mediante JavaScript.
Sobre la disminución en el rendimiento, la compañía ha dicho que las mitigaciones para Safari han tenido un impacto que no se podía medir (suponemos que nulo) en las pruebas con Speedometer y ARES-6, mientras que sobre el benchmark JetStream la disminución fue inferior al 2,5%.
Que los dispositivos iOS fuesen vulnerables frente a Spectre es algo que no nos sorprende, ya que como bien se hicieron eco nuestros compañeros de MuyLinux, muy pocas CPU parece que se librarán de verse afectadas, sin embargo, sí resulta sorprende que sean vulnerables frente a Meltdown, por lo que habrá que ver cuál será el impacto en el rendimiento tras recibir los parches, más sabiendo lo que está pasando con Intel.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad