Una vulnerabilidad en iPhone permitía hackear el móvil en solo 15 segundos: la razón por la que deberías actualizar a iOS 15.2 ya

Las actualizaciones de sistemas operativos como iOS o Android siempre incluyen parches de seguridad. La industria del crimen informático está muy profesionalizada, y los especialistas en ciberseguridad en dispositivos móviles disputan desde hace décadas una carrera similar a la de un gato y un ratón.

Pero hay algo en la actualización de iOS a su versión 15.2 que hace imprescindible su aplicación lo antes posible. Si eres usuario de uno de los últimos terminales de Apple, la familia de iPhone 13, será mejor que actualices el sistema operativo lo antes posible.

La razón no es otra que los parches de seguridad que incluyen esta actualización reparan una vulnerabilidad en el kernel (núcleo de ese sistema operativo). Una vulnerabilidad tan grave que, tal y como adelantan medios como ThreatPost, se pudo demostrar ante público en un congreso de ciberseguridad celebrado en China.

Fue en las tablas de la Tianfu Cup donde unos expertos demostraron cómo lograban controlar el dispositivo mediante una ejecución de código en remoto en un pestañeo. Fue cuestión de segundos. Más concretamente: de solo 15 segundos.

Esta vulnerabilidad, para la que afortunadamente ya existe solución, se dio a conocer hace apenas 2 meses. Esta semana, la industria de la ciberseguridad está trabajando a contrarreloj después del hallazgo del Log4jShell, una vulnerabilidad en una librería de código abierto (Log4j) que está implementada en miles de servidores para registrar sus logs (cambios y eventos).

Esa vulnerabilidad sobre Log4j ha supuesto un punto de inflexión en la industria y obligó a trabajar durante jornadas maratonianas, fines de semana incluidos, a profesionales de la seguridad informática de todo el mundo. No era solo la gravedad, sino la prevalencia de esta vulnerabilidad, para la que también hay parche.

Los ladrones están usando los AirTag de Apple para rastrear vehículos de lujo hasta la casa de sus dueños y robarles, según la policía

Una empresa con tres servidores puede comprobar de una manera relativamente ágil si sus servidores están afectados por esa vulnerabilidad. Una gran compañía que depende de miles de servidores tiene más dificultades. El agujero de seguridad, en esos casos, no sería tal: esas grandes corporaciones se estarían enfrentando en realidad a miles de agujeros de seguridad.

En el caso de las vulnerabilidades parcheadas, estas permitían que apps maliciosas ejecutasen códigos en remoto con privilegios del kernel, lo que el fabricante del dispositivo consideró de "condición de carrera". Etiquetada como CVE-2021-30955, la vulnerabilidad fue demostrada por una organización china, Kunlun Lab, en el evento antes referido.

Esta vulnerabilidad en el kernel es lo que el jefe de Kunlun Lab reconoció que intentaron usar para tratar de conseguir un método con el que hacerle jailbreak al iPhone, aunque no lo lograron. Se trata de una vulnerabilidad también presente en MacOS.

Pero donde Kunlun Lab no triunfó sí lo hizo Team Pangu, un reconocido grupo de programadores de la comunidad iOS de origen chino, que lograron ejecutar un jailbreak en remoto sobre un iPhone 13 Pro en la Tianfu Cup. El logro les llevó a conseguir 330.000 dólares en recompensa, según detalla ThreatPost.