Apple sigue teniendo una vulnerabilidad denunciada hace años

Una de las premisas que a menudo enarbola Apple respecto a sus dispositivos, es la seguridad de los mismos. Se cuidan de que no existan vulnerabilidades que puedan facilitarle el camino a los ciberdelincuentes. Sobre todo, en sus smartphones, tabletas y portátiles. Pero la realidad es otra de acuerdo con un estudio publicado en la Conferencia ACM SIGSAC 2023 sobre seguridad informática y de comunicaciones: la vulnerabilidad descubierta en 2020, sigue vigente.

De acuerdo con Jason Kim y Daniel Genkin, científicos de Georgia Tech, ha sido posible evadir las medidas de seguridad en la última MacBook Pro de Apple con el chip procesador M3 para obtener la contraseña de Facebook de su objetivo ficticio gracias a un exploit (un software capaz de atacar vulnerabilidades de un programa)... El problema es que la vulnerabilidad detectada por Kim y Genkin ya fue identificada en 2020 y afecta a todos los iPhone, iPad y ordenadores producidos por Apple desde aquel año.

El exploit que guía el ataque, iLeakage, permite a los atacantes ver lo que sucede en el navegador Safari de su objetivo. Esta vulnerabilidad da un acceso potencial a las credenciales de inicio de sesión de Instagram, las bandejas de entrada de Gmail y los historiales de visualización de YouTube.

"Un atacante remoto puede implementar iLeakage alojando una página web maliciosa que controle, y el objetivo solo necesita visitar esa página web – señala Kim en un comunicado -. Debido a que Safari no aísla adecuadamente las páginas web de diferentes orígenes, la página web del atacante puede obligar a Safari a colocarla como objetivo en el mismo espacio de direcciones. El atacante puede utilizar la ejecución especulativa para leer posteriormente secretos arbitrarios de la página objetivo".

¿Cómo es esto posible? Bueno, a medida que los fabricantes desarrollaron CPU más rápidas y eficientes, sus dispositivos se volvieron vulnerables a algo llamado ataques de ejecución especulativa. Esta vulnerabilidad está en el diseño del propio chip . Ha provocado importantes problemas de software desde que se informó del ataque de Spectre en 2018. 

"iLeakage muestra que estos ataques siguen siendo relevantes y explotables, incluso después de casi seis años de esfuerzos de mitigación de Spectre tras su descubrimiento – añade Genkin -. Los ataques Spectre obligan a las CPU a ejecutar especulativamente el flujo de instrucciones incorrecto. Hemos descubierto que esto se puede utilizar en varios entornos diferentes, incluidos Google Chrome y Safari".

El equipo informó a Apple de sus hallazgos el 12 de septiembre de 2022. Desde entonces, la compañía de Cupertino ha emitido medidas de mitigación para iLeakage en Safari. Sin embargo, estas no han tenido efecto. Afortunadamente, los autores del estudio no tienen pruebas de que se haya utilizado iLeakage para ciberataques, ya que su uso no es fácil y la vulnerabilidad se limita al navegador web Safari.

Sin embargo, los usuarios de iOS enfrentan una situación diferente debido a las políticas de sandboxing en la App Store de Apple. Estas políticas requieren que las aplicaciones de navegador que usan iOS utilicen Safari, lo que hace que casi todas las aplicaciones de navegador que figuran en la App Store sean vulnerables a iLeakage. En pocas palabras, las vulnerabilidades se extienden a casi todas las aplicaciones… Desde hace años.