Categories: Seguridad

Un fallo de seguridad de Apple puede revelar contraseñas

Un grupo de seis investigadores de la Universidad de Indiana ha revelado una grave vulnerabilidad de día cero en los sistemas operativos de Apple iOS y OS X, afirmando que es posible descifrar la contraseña de almacenamiento del llavero de Apple, crackear los sandbox de las aplicaciones y eludir los controles de seguridad de la App Store.

Los atacantes pueden explotar estos errores para robar las contraseñas de las aplicaciones instaladas, incluyendo el cliente de correo electrónico nativo, sin ser detectados.

El equipo de investigadores fue capaz de subir software malicioso a la tienda de aplicaciones de Apple y superó los procesos de investigación de antecedentes sin activar ninguna alarma. Su malware, cuando se instala en el Mac de la víctima, penetra en el llavero para robar contraseñas de servicios como iCloud y la aplicación de correo y todos los almacenados dentro de Google Chrome.

Asimismo, han identificado nuevas debilidades dentro de los mecanismos de comunicación entre las aplicaciones de OS X y iOS, que se pueden utilizar para robar datos confidenciales de WeChat, Evernote, Facebook y otras aplicaciones de alto perfil. Los investigadores fueron capaces de atacar las credenciales bancarias de Google Chrome en la versión OS X 10.10.3, usando una aplicación de espacio aislado para robar datos del llavero y las fichas secretas de iCloud.

En total, encontraron que el 88,6% de las 200 aplicaciones de iOS e OS X analizadas se encontraron “completamente expuestas” al acceso no autorizado a recursos mediante ataques de aplicación cruzada (XARA), que permiten que aplicaciones maliciosas roben datos de otras de forma segura.

El investigador principal, Luyi Xing, declaró a The Register que él y su equipo informaron a Apple en octubre de 2014 y cumplieron con la petición de la compañía de retener la publicación de la investigación, titulada Recursos de acceso cross-app no autorizados en Mac OS X y iOS, durante seis meses, pero que no han recibido respuesta de la compañía desde que le comunicaron el agujero de seguridad.

Asimismo, Xing y su equipo aseguran que el fallo todavía está presente en el software de Apple, lo que significa que es probable que los ciberdelincuentes acaben por aprovecharlo para hacer de las suyas.

Juan Miguel Revilla

Periodista y profesor, ha ejercido como redactor y editor en medios de información política y cultural. Desde 2012 trabaja en el campo de las nuevas tecnologías. Actualmente es redactor de Itespresso.

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago