HPE entre los líderes de almacenamiento de Gartner
La agencia de seguridad gubernamental alemana ha alertado sobre posibles ataques al sistema operativo móvil iOS mediante este tipo de archivos y Apple se ha comprometido a solucionar rápidamente las vulnerabilidades que afectan a su sistema operativo.
Horas después de que los desarrolladores revelaran haber explotado varias fallas en el sistema operativo iOS de Apple, las autoridades de seguridad gubernamental alemanas han avisado que uno de las fallas podría utilizarse con fines maliciosos.
Hace unos días, la Oficina Federal de Seguridad de la Información alemana, conocida por las iniciales BSI (Bundesamt fuer Sicherheit in der Informationstechnik), avisó a los ciudadanos que la falla en iOS podría utilizarse por criminales para secuestrar iPhones, iPads e iPod Touches.
“Incluso haciendo clic en un documento PDF o navegando en una página web con el documento PDF es suficiente para infectar un dispositivo móvil con software malicioso”, avisan en su alerta.
Los archivos PDF que explotan la vulnerabilidad están disponibles en Internet, según Mikko Hypponen, responsable de investigación de la compañía de seguridad F-Secure.
Y esos PDF podrían utilizarse por malhechores para atacar dispositivos iOS simplemente conduciendo a los usuarios a páginas web maliciosas, ha declarado Andrew Storms, director de operaciones de seguridad de nCircle Security.
Los usuarios de iPhone e iPad conducidos a un PDF malicioso a través de un enlace en un mensaje de correo, por ejemplo, no recibirían ningún aviso ni tendrán que hacer nada especial para verse afectados. “No se pide al usuario que confirme la apertura del archivo”, explica Storm.
El avisde lo a BSI se publicó justo después de que un grupo de investigadores publicara una versión actualizada de JailbreakMe, una herramienta que ataca a iOS.
Esos desarrolladores explotaron un par de vulnerabilidades, incluyendo una en la fuente del visualizador PDF integrado con la versión iOS de Safari y otra que superaba defensas antimalware como ASLR.
Los expertos en seguridad han dicho que las mismas vulnerabilidades, particularmente la explotable a través de archivos maliciosos PDF, podrían utilizarse por criminales para secuestrar los populares iPad e iPhone de Apple.
“Son, sin duda, una amenaza y es muy fácil hacer que se conviertan en maliciosos”, ha declarado Charlie Miller, un investigador de Mac OS X e iOS que trabaja para Accuvant.
Miller también especuló con la posibilidad de que Apple pudiera resolver rápidamente las vulnerabilidades, quizá incluso más rápido que el año pasado, cuando tuvo que hacer frente a una situación similar. En agosto del 2010, Apple resolvió un par de fallas utilizadas por JailbreakMe 2.0 solamente 10 días después de que se lanzara la herramienta.
Se habían filtrado noticias sobre la liberación inminente de JailbreakMe 3.0, lo que podría haber dado lugar a que en Apple estuvieran aún más alerta. Además, la propia alerta de la BSI era similar a una publicada el pasado agosto, cuando apareció JailbreakMe 2.0.
Desde Apple ya han anunciado que resolverán los problemas. “Estamos al tanto de este tema y estamos trabajando en su solución, que estará disponible para los clientes en la próxima actualización de software”, ha declarado un portavoz de Apple.
El año pasado, Apple parcheó las fallas de Jailbreak 2.0 seis días después de decir que estaba trabajando en su solución.
Irónicamente, ya hay un parche disponible, pero solamente para aquellos que hayan pirateado su iPhone, iPad o iPod Touch con JailbreakMe 3.0. La solución, llamada “PDF Patcher”, puede descargarse en la tienda de aplicaciones Cydia.
La BSI estaba especialmente preocupada por la posibilidad de que esa vulnerabilidad pudiera ser explotada por los hackers para atacar a individuos en concreto. Debido a que los dispositivos iOS suelen ser utilizados por gestores senior, la agencia avisó que “es posible que la debilidad pueda ser explotada para ataques dirigidos a líderes de empresas y conseguir así información confidencial de sus compañías”.
A menudo etiquetado como “spear phishing”, ese tipo de ataques dirigidos son extremadamente efectivos para los cibercriminales, que han utilizado esta táctica para infiltrarse en grandes empresas, incluyendo Google, y se apropian de datos confidenciales.
Gregg Keizer, Computerworld (US)
