Un estudiante de ciberseguridad descubrió una vulnerabilidad en las cámaras de iPhone y Mac, por lo que Apple le pagó, según el programa de recompensas por errores de dispositivos de la compañía. unos 100 mil dolares.
Se trata de Ryan Pickren -quien ya ha informado de otros errores a la empresa- y a través de su sitio brinda algunos detalles sobre su nuevo descubrimiento que ha permitido corregir una vulnerabilidad importante.
Según Pickren, esta falla de la cámara web estaba relacionada con una serie de problemas de iCloud y Safari, el mismo error que Apple ya había reparado en una actualización de seguridad anterior.
El error de prueba desarrollado por Pickren requiere que los usuarios marquen una ventana emergente del sitio web de prueba, pero da como resultado algo más que el secuestro de permisos de medios.
Ryan Pickren descubrió este defecto.
“Una característica sorprendente de estos archivos es que especifican el origen web en el que se debe representar el contenido. Este es un buen truco para permitir que Safari reconstruya el contexto del sitio web guardado, pero un atacante también puede modificar este archivo de alguna manera para su beneficio” .
Este detalle aparentemente menor puede dar a un atacante acceso total a todos los sitios web visitados por la víctima. Lo que implica que los atacantes pueden acceder a las cámaras de los usuarios y hackear su información personal en sitios como iCloud, PayPal, Gmail, entre otros.
Pero eso no es todo. Pickren reconoce que el mismo truco podría abrir todo el sistema de archivos del dispositivo a cualquier intruso. Haría esto explotando los archivos “webarchive” de Safari, el sistema que utiliza el navegador para almacenar copias locales de sitios web.
“Esta decisión se tomó hace casi una década, cuando el modelo de seguridad de los navegadores no estaba tan maduro como lo está hoy”, explica el joven estudiante.
El usuario tiene que descargar dicho archivo web y posteriormente abrirlo. Según Pickren, esto significa que Apple no lo consideró un posible escenario de piratería cuando implementó por primera vez el archivo web de Safari.
“Antes de Safari 13, ni siquiera se mostraban advertencias al usuario antes de que un sitio web descargara archivos arbitrarios. Por lo tanto, plantar el archivo web era fácil”, señala el experto.
Por el momento, la empresa no se pronunció sobre el error o informó el número de afectados. Por lo tanto, Pickren tendría razón al estar seguro de que se trataba de un error no descubierto hasta ahora y que ahora se ha solucionado.
multa semanal
La App Store vuelve a estar en el foco de la tormenta. Foto AP
Apple en los Países Bajos se enfrenta a una multa semanal de 5 millones de euroshasta que cumpla a cabalidad con una decisión de la Autoridad de Consumidores y Mercados de ese país (ACM).
En diciembre, ese organismo dijo que la empresa debe permitir a los desarrolladores de aplicaciones recibir pagos fuera de la App Store, práctica a la que se opone y que es el eje de demandas como la que protagoniza junto al creador de Fortnite, Epic Games.
La demanda es principalmente para aplicaciones de citas que operan en los paises bajosen su mayoría propiedad de Match Group (incluido Tinder).
Según la agencia, el dueño de la App Store debe permitir que los desarrolladores reciban pagos a través de herramientas de terceros y no solo dentro de la tienda, como hasta ahora.
SL
