-

8/11/11

Descubierta una importante vulnerabilidad de seguridad en iPhone

A medida que los smartphones se han hecho más complejos y potentes, nos hemos ido acostumbrando a que tengan algunas vulnerabilidades de seguridad que van corrigiendo las sucesivas actualizaciones de firmware. Hasta cierto punto los iPhone se habían mantenido al margen de esto, en gran parte por el férreo control que tiene Apple sobre todo lo que se publica en la App Store.

Sin embargo, se acaba de descubrir una forma de introducir una aplicación maliciosa en el iPhone a través de aplicaciones normales y aparentemente inocentes. Del descubrimiento de este exploit se ha encargado Charlie Miller, un antiguo analista de la NSA (la Agencia de Seguridad Nacional estadounidense), que planea presentar el método en la conferencia SysCan de Taiwán que se celebrará la próxima semana.

Parece que la forma de aprovechar esta vulnerabilidad de iOS es saltarse las restricciones de código de Apple con aplicaciones seguras que pasan sin problemas el filtro de los de Cupertino, pero que pueden posteriormente descargar y ejecutar nuevo código que serviría para conseguir prácticamente cualquier cosa, desde algo tan inocente como hacer que el iPhone vibre o reproduzca sonidos hasta algo tan preocupante como robar las fotos, contactos e información personal del usuario.

Charlie Miller ha puesto en práctica su método subiendo a la App Store una aplicación llamada Instastock que permite ejecutar ese código malicioso. “Ahora puedes tener un programa en la App Store como Angry Birds que ejecute nuevo código que Apple nunca ha podido compronar. Con este bug ya no puedes estar seguro de que cualquier cosa que descargues de la App Store se vaya a portar bien,” explica Miller.

Por el momento la única respuesta pública de Apple ha sido eliminar la aplicación de Miller de la App Store y revocar su licencia de desarrollador. Esperemos que en breve hagan algo más eficaz, como mejorar su sistema de filtrado de aplicaciones o sacar un parche que impida este tipo de comportamientos en las aplicaciones.

Noticias del mes