Un grupo de seis investigadores de la Universidad de Indiana ha revelado una grave vulnerabilidad de día cero en los sistemas operativos de Apple iOS y OS X, afirmando que es posible descifrar la contraseña de almacenamiento del llavero de Apple, crackear los sandbox de las aplicaciones y eludir los controles de seguridad de la App Store.
Los atacantes pueden explotar estos errores para robar las contraseñas de las aplicaciones instaladas, incluyendo el cliente de correo electrónico nativo, sin ser detectados.
El equipo de investigadores fue capaz de subir software malicioso a la tienda de aplicaciones de Apple y superó los procesos de investigación de antecedentes sin activar ninguna alarma. Su malware, cuando se instala en el Mac de la víctima, penetra en el llavero para robar contraseñas de servicios como iCloud y la aplicación de correo y todos los almacenados dentro de Google Chrome.
Asimismo, han identificado nuevas debilidades dentro de los mecanismos de comunicación entre las aplicaciones de OS X y iOS, que se pueden utilizar para robar datos confidenciales de WeChat, Evernote, Facebook y otras aplicaciones de alto perfil. Los investigadores fueron capaces de atacar las credenciales bancarias de Google Chrome en la versión OS X 10.10.3, usando una aplicación de espacio aislado para robar datos del llavero y las fichas secretas de iCloud.
En total, encontraron que el 88,6% de las 200 aplicaciones de iOS e OS X analizadas se encontraron “completamente expuestas” al acceso no autorizado a recursos mediante ataques de aplicación cruzada (XARA), que permiten que aplicaciones maliciosas roben datos de otras de forma segura.
El investigador principal, Luyi Xing, declaró a The Register que él y su equipo informaron a Apple en octubre de 2014 y cumplieron con la petición de la compañía de retener la publicación de la investigación, titulada Recursos de acceso cross-app no autorizados en Mac OS X y iOS, durante seis meses, pero que no han recibido respuesta de la compañía desde que le comunicaron el agujero de seguridad.
Asimismo, Xing y su equipo aseguran que el fallo todavía está presente en el software de Apple, lo que significa que es probable que los ciberdelincuentes acaben por aprovecharlo para hacer de las suyas.
Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…
Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…
El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…
Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…
Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…
También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…