No es la primera vez que alguna desarrolladora de software intenta solucionar un fallo de seguridad en su producto, libera un parche y, al cabo de un tiempo, se descubre que la vulnerabilidad sigue abierta y comprometiendo la seguridad de sus usuarios. Ayer, sin ir más lejos, vimos un caso que afectaba al navegador Google Chrome y, en esta ocasión, le ha tocado el turno a iOS, el sistema operativo de Apple, con un fallo solucionado, en teoría, hace ya 8 años.
Recientemente, expertos de seguridad han descubierto cómo un fallo en iOS, el sistema operativo de Apple, que supuestamente fue solucionado en 2008 con al lanzamiento de iOS 2.2, sigue abierto y está suponiendo un peligro para todos los usuarios del sistema operativo.
Este fallo se encuentra presente concretamente en el componente WebView de iOS y, de explotarse correctamente, puede hacer que un dispositivo llame a cualquier número y bloquear el teclado para impedir que el usuario cuelgue la llamada. Los WebView son los componentes que utilizan las principales aplicaciones como Twitter o Facebook para mostrar páginas web en navegadores propios sin tener que abrir otro como Safari o Chrome, por lo que cualquier aplicación con esta característica podría ser utilizada para explotar el fallo.
Este fallo puede ser utilizado con muchos fines, por ejemplo, para saturar los números de teléfono de emergencias haciendo que los dispositivos llamen a ellos e impidiendo que se cuelgue la llamada hasta reiniciar el dispositivo e incluso para marcar automáticamente números de tarificación adicional, con el coste que eso supone.
Podemos ver más información sobre el fallo supuestamente solucionado en 2008 en el siguiente enlace.
Cómo protegernos de este fallo de iOS
Como hemos dicho, este fallo solo afecta al componente WebView de iOS, por lo que la mejor forma de protegernos de él es deshabilitando (si lo permite) cualquier navegador interno de otras aplicaciones y abriendo enlaces solo en navegadores web no vulnerables, como Safari, Firefox o Google Chrome.
Si la aplicación viene con un navegador incluido, debemos asegurarnos de abrir solo enlaces de total confianza (por ejemplo, evitando los enlaces de desconocidos en las redes sociales) y, si queremos abrir los enlaces con otro navegador, podemos mantener pulsado sobre ellos, copiarlos al portapapeles y pegarlos en el navegador que queramos utilizar para evitar que, si se trata de una URL maliciosa, esta afecte a nuestro dispositivo.
Apple está a tiempo de solucionarlo con la llegada del próximo iOS 10.2, aunque, por el momento, no sabemos si será así o veremos una actualización de seguridad antes de la llegada de la nueva versión del sistema operativo.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
