Hace apenas unos meses, los expertos en seguridad web de Project Zero, de Google, revelaron algunas vulnerabilidades de seguridad en el sistema operativo iOS, de Apple, que podrían ser explotadas para comprometer completamente un dispositivo. Esta revelación generó severas críticas para Google, pues posteriormente se supo que estas fallas no estaban presentes sólo en el sistema operativo de Apple.
A pesar de las críticas, los miembros de Project Zero han revelado un nuevo informe sobre algunas vulnerabilidades presentes en los sistemas operativos de Apple, que podrían ser explotadas por actores de amenazas para obtener un punto de acceso a un dispositivo comprometido.
Acorde a los investigadores en seguridad web de Project Zero, las vulnerabilidades reportadas son un antiguo problema relacionado con los archivos multimedia enviados vía plataformas de mensajería instantánea en el marco de ImageIO. Las fallas fueron reportadas a Apple, que se apresuró a lanzar las correcciones correspondientes.
En su reporte, el equipo de Google advierte que a pesar de que las vulnerabilidades reveladas no permiten tomar control de un dispositivo o la exposición de datos confidenciales, algunas de estas fallas pueden ser explotadas para la ejecución de código remoto sin interacción del usuario afectado.
Expertos en seguridad web aseguran que la explotación de vulnerabilidades usando imágenes no es un fenómeno poco común. Recientemente se han revelado múltiples informes sobre algunas fallas en las plataformas de mensajería y otros servicios de comunicación remota; en la mayoría de los casos, el ataque se desencadena cuando se recibe una imagen y el dispositivo requiere analizar los datos para saber cómo administrar y mostrar el archivo. La mayoría están en formatos como JPEG, GIF o PNG, aunque existen otros tipos de archivo menos comunes.
Project Zero demostró la existencia de estas vulnerabilidades empleando un método conocido como aleatorización de datos, por lo que el dispositivo se volvía incapaz de manejar adecuadamente una imagen. Esto abre la puerta a los actores de amenazas para desplegar ataques posteriores.
Como medida de seguridad, Google sugirió a los fabricantes adoptar este modelo de pruebas; implementar soporte sólo para los formatos de imagen más comunes también puede ser una buena medida para mitigar el riesgo de explotación de estas fallas.
Al parecer, estas fallas están presentes en todos los sistemas operativos de Apple, incluso en los que han sido recientemente actualizados. Cabe mencionar que este es un vector de ataque muy sofisticado, por lo que una campaña de explotación masiva de estas fallas es muy poco probable.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
