Para aquellos que se vanaglorian de que iOS es un sistema operativo seguro, que es inhackeable, y otras lindeces que todos hemos oído alguna que otra vez, tenemos una muy mala noticia, pues investigadores de seguridad acaban de descubrir que, como sucede en Android, también hay millones de apps expuestas a los ataques de hackers y ciberdelincuentes.
De hecho, ARS Technica desvela que se han descubierto vulnerabilidades críticas en CocoaPods, un repositorio esencial para el desarrollo de muchas, muchísimas aplicaciones para iOS y macOS, los sistemas del iPhone y los iMac, que han puesto en riesgo la seguridad de millones de usuarios. Lo más llamativo del caso es que parece ser que no son unos fallos puntuales que hayan aparecido de buenas a primeras, sino que son errores que llevan sin corregir durante más de una década.
Por supuesto, con tanto tiempo de por medio, millones de usuarios podrían haber sido afectados y ver (o mejor dicho, ignorar) como los ciberdelincuentes han podido inyectar código malicioso en miles de aplicaciones, comprometiendo información confidencial como datos de tarjetas de crédito y historiales médicos.
Ya están corregidas, pero…
Las vulnerabilidades, corregidas en octubre de 2023, se encontraban en un servidor central utilizado para gestionar el mencionado repositorio de CocoaPods, un servidor crucial para que los desarrolladores verificaran su identidad y accedieran a herramientas de gestión y desarrollo de apps.
En este sentido, han sido los investigadores de EVA Information Security quienes dieron la voz de alarma y detectaron tres principales fallos en el sistema:
Inyección de código: Los atacantes podían manipular enlaces de verificación de correo electrónico para redirigir a los desarrolladores a servidores maliciosos y ejecutar código arbitrario en sus cuentas de CocoaPods.
Apropiación de pods huérfanos: Los atacantes podían tomar el control de pods abandonados sin prueba de propiedad.
Ejecución de código en el servidor: Un error en la validación de correos electrónicos permitía a los atacantes ejecutar código en el servidor central de CocoaPods.
No se sabe el número de víctimas que han podido sufrir ataques por culpa de estas vulnerabilidades, pero, se haber sido explotadas, se han podido usar para el robo de información confidencial de los usuarios como chats privados, los datos de tarjetas de crédito, historiales médicos, fotos privadas, además de instalar todo tipo de malware y virus en los teléfonos.
Ahora que el asunto ha salido a la luz, hay dos noticias al respecto. Una buena y otra mala.
La buena es que ya ha pasado más de medio año desde que se puso solución a estas vulnerabilidades, por lo que ya no hay riesgo de que te afecte. La mala es que, como hemos dicho, hasta que se descubrieron las vulnerabilidades a finales del año pasado, han podido ser aprovechadas por hackers y delincuentes para llevar a cabo el robo de datos mencionado. De hecho, son más de 3 millones de apps las que usan las librerías de CocoaPods, por lo que el potencial número de víctimas puede ser mucho más grande que esta cifra.
The post ¿Qué el iPhone es seguro? Díselo a estos 3 millones de apps de iOS hackeables appeared first on MovilZona.