Ya sabemos lo peculiar que es la forma de actuar de los de Cupertino frente a problemas de seguridad. Sin embargo, después de varios meses desde su detección, una vulnerabilidad detectada en la App Store y iTunes aún esta presente y se puede explotar haciendo uso de las mismas técnicas.
Esta vulnerabilidad afecta a todos los usuarios y fue notificada por última vez el día nueve del mes pasado, sin obtener ningún tipo de respuesta por parte de la compañía. Tras un tiempo de espera los encargados de reportar el fallo han realizado la demostración de nuevo obteniendo resultados positivos.
Para que nos hagamos a la idea, la vulnerabilidad permite que la sesión de un usuarios iniciada en iTunes o App Store sea robada y utilizada para adquirir productos utilizando la cuenta del usuario sin que este sea consciente, siendo necesario únicamente el uso de un script.
Pero este no es el único problema, ya que el fallo de seguridad permite más tareas además de realizar compras no autorizadas:
- Ataques phishing
- Redirección a sitios web falsos
- Modificación de la información visualizada por el usuario
Y es que en realidad nos encontramos ante un ataque que podría considerarse MitM, ya que el atacante de forma totalmente remota es capaz de modificar la información visualizada por el usuario sin que este sea consciente.
Apple demuestra de nuevo pasividad a la hora de resolver problemas en la App Store
Esta actitud no sorprende a nadie, sobre todo después de ver la contestación de uno de los responsables de seguridad ante un problema de seguridad. Esta persona argumentaba que no se tomarían medidas para solucionar el problema porque este aún no había sido explotado por los ciberdelincuentes y que por lo tanto no existía ningún problema afectado.
Sin embargo, no es la única problema generada por los de Cupertino, ya que la política de actualizaciones tanto de iOS como de Mac OS X no es la más acertada y los usuarios tardan recibir las actualizaciones de software de terceros al menos un mes con respecto a los usuarios de Microsoft, algo que expone durante mucho más tiempo a los usuarios de los equipos de la manzana.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
