Un error de seguretat en l'iPhone va permetre accedir a la informació dels usuaris

L’equip de seguretat de Google, Project Zero, ha explicat aquest divendres com determinades pàgines web amb codi incrustatpàgines web amb codi incrustat van aconseguir accedir a contingut de mòbils iPhone i de tauletes iPad aprofitant vulnerabilitats greus del sistema operatiu. Els errors, fins a un total de 14, afectaven totes les versions i subversions del codi de dispositius mòbils d’Apple des d’iOS10 fins a iOS12, que utilitzaven des de l’iPhone 5 endavant i des de l’iPad Air.

Això suposa que els errors afectaven totes les actualitzacions que la companyia va presentar des del setembre del 2016 al setembre del 2018, i que almenys en un cas són errors considerats "de dia zero", és a dir, que són presents en el nucli del codi des del primer dia i que han passat inadvertits en les revisions. 

Segons els investigadors de Google, els atacants van crear diverses pàgines web que van estar actives al llarg del 2017 en què van incrustar un codi que feia que quan un usuari de iPhone les visitava, se’ls carregava un 'exploit' que permetia als atacants eludir les proteccions de seguretat del sistema operatiu. Així, afirmen, els era possible accedir a tota la informació, almenys, de l’iMessage, les fotos i la localització. 

Altres dades com la targeta de crèdit, número de telèfon, adreça postal o correus electrònics també s’emmagatzemen al telèfon.

El sistema d’atac el van ser perfeccionant fins a desenvolupar cinc versions de cadenes, cada vegada més sofisticades. Cinc d'aquestes atacaven el navegador web, cinc més el nucli del sistema operatiu (l’anomenat kernel) i quatre més es dirigien a les capes de software que relacionen les apps amb el sistema operatiu (sandbox). 

Notícies relacionades

Apple i Google suspenen les gravacions dels seus assistents de veu

No només Jobs va fer l'iPhone

Segons Ian Beer, de Project Zero, no eren atacs dirigits a un públic concret, sinó que eren pàgines molt generals que rebien centenars de milers de visitants per setmana. I és l'error de seguretat més gran en dispositius Apple en tota la seva història, segons la revista ‘Wired’. Segons els seus analistes, davant el cost que ha resultat per a certes administracions hackejar els iPhone de sospitosos de terrorisme –el famós cas del’FBI per accedir a la informació dels autors de la matança de San Bernardino–, a uns hackers els ha resultat molt barat entrar als mòbils d’Apple només incloent un codi a les webs. 

La vulnerabilitat ja va ser publicada per Google el febrer passat, després que Apple la reparés, i les webs atacants ja estan tancades. Project Zero és l’equip de seguretat que més vulnerabilitats reporta i fins i tot té un premi per animar els programadors a denunciar errors. Un dels problemes més sonats que han trobat va ser el que afectava el protocol HTTPS.