Categories: Seguridad

Un fallo de seguridad de Apple puede revelar contraseñas

Un grupo de seis investigadores de la Universidad de Indiana ha revelado una grave vulnerabilidad de día cero en los sistemas operativos de Apple iOS y OS X, afirmando que es posible descifrar la contraseña de almacenamiento del llavero de Apple, crackear los sandbox de las aplicaciones y eludir los controles de seguridad de la App Store.

Los atacantes pueden explotar estos errores para robar las contraseñas de las aplicaciones instaladas, incluyendo el cliente de correo electrónico nativo, sin ser detectados.

El equipo de investigadores fue capaz de subir software malicioso a la tienda de aplicaciones de Apple y superó los procesos de investigación de antecedentes sin activar ninguna alarma. Su malware, cuando se instala en el Mac de la víctima, penetra en el llavero para robar contraseñas de servicios como iCloud y la aplicación de correo y todos los almacenados dentro de Google Chrome.

Asimismo, han identificado nuevas debilidades dentro de los mecanismos de comunicación entre las aplicaciones de OS X y iOS, que se pueden utilizar para robar datos confidenciales de WeChat, Evernote, Facebook y otras aplicaciones de alto perfil. Los investigadores fueron capaces de atacar las credenciales bancarias de Google Chrome en la versión OS X 10.10.3, usando una aplicación de espacio aislado para robar datos del llavero y las fichas secretas de iCloud.

En total, encontraron que el 88,6% de las 200 aplicaciones de iOS e OS X analizadas se encontraron “completamente expuestas” al acceso no autorizado a recursos mediante ataques de aplicación cruzada (XARA), que permiten que aplicaciones maliciosas roben datos de otras de forma segura.

El investigador principal, Luyi Xing, declaró a The Register que él y su equipo informaron a Apple en octubre de 2014 y cumplieron con la petición de la compañía de retener la publicación de la investigación, titulada Recursos de acceso cross-app no autorizados en Mac OS X y iOS, durante seis meses, pero que no han recibido respuesta de la compañía desde que le comunicaron el agujero de seguridad.

Asimismo, Xing y su equipo aseguran que el fallo todavía está presente en el software de Apple, lo que significa que es probable que los ciberdelincuentes acaben por aprovecharlo para hacer de las suyas.

Juan Miguel Revilla

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

3 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

3 días ago