A pesar de que los dispositivos de Apple se venden como una opción más segura que sus contrapartes con sistema operativo Android, los productos con iOS no están a salvo de las fallas de seguridad. Recientemente, un experto en seguridad perimetral descubrió que una vulnerabilidad en el navegador Safari permitiría a los actores de amenazas controlar a voluntad la cámara de un dispositivo comprometido.
Ryan Pickren, el investigador responsable del descubrimiento, afirma que el problema afecta a las versiones de Safari para equipos Mac, además de las versiones para iPhone o iPad. Al parecer, todo lo que los actores de amenazas requieren para completar el ataque es que la víctima haga clic en un enlace malicioso, lo que otorgará acceso a la cámara del dispositivo.
Expertos en seguridad perimetral temen que, al emplear este ataque, los hackers también puedan acceder a otros recursos en el dispositivo afectado, como micrófonos, pantalla compartida e incluso detalles confidenciales como contraseñas en texto sin formato.
Este ataque consiste en duplicar el navegador Safari para que se cree un sitio web malicioso que aparente ser legítimo. Cuando una aplicación o servicio requiere acceso a la cámara, usualmente se solicita al usuario conceder un permiso, no obstante, algunas vulnerabilidades en el navegador de Apple permitirían que una aplicación maliciosa pueda acceder a la cámara sin solicitar permiso del usuario objetivo.
En su informe, Pickren menciona: “descubrí siete vulnerabilidades día cero en Safari identificadas como CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 y CVE-2020-9787; puedo confirmar que tres de estas fallas han sido utilizadas para esta variante de ataque”.
Además, los expertos en seguridad perimetral temen que aplicaciones legítimas pudieran obtener el mismo acceso que permite el ataque con solo un clic: “Si los usuarios requieren de usar el navegador, las compañías deberán garantizar un nivel de confianza óptimo”, menciona el investigador.
Respecto a los permisos de sitios, el navegador Safari almacena las preferencias de los usuarios; por lo general, estos permisos abarcan acceso al micrófono y la cámara, incluso a los contactos del usuario. Los actores de amenazas pueden crear sitios legítimos de apariencia confiable, con lo que pueden obtener acceso a los permisos del usuario.
El investigador reportó la falla a Apple, gracias a lo que obtuvo una recompensa de alrededor de 75 mil dólares. Los usuarios deben recordar las medidas de seguridad esenciales para el uso de su navegador móvil, como verificar los certificados SSL de un sitio web, además de evitar el uso de aplicaciones móviles que soliciten más permisos de los necesarios.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
