Según publicó FireEye, iOS sufre un fallo de seguridad que permitiría a un atacante desarrollar una aplicación capaz de registrar nuestra actividad, desde las pulsaciones a los botones físicos, el uso de Touch ID y por supuesto todas y cada una de las pulsaciones sobre el teclado virtual de iOS. De modo que dichos datos, una vez capturados, podrían enviarse a un servidor remoto donde se revisarían para obtener información.
Pero lo más destacado es que también afirman haber encontrado métodos para eludir los procesos de revisión y así conseguir colocar la aplicación en la App Store. Algo que, con malas intenciones, sí resulta ser más preocupante. Además, la vulnerabilidad no sólo a fecta a iOS 7 (probada con éxito en las versiones 7.0.4, 7.0.5 y 7.0.6) también a iOS 6 (6.1.X).
We have created a proof-of-concept “monitoring” app on non-jailbroken iOS 7.0.x devices. This “monitoring” app can record all the user touch/press events in the background, including, touches on the screen, home button press, volume button press and TouchID press, and then this app can send all user events to any remote server, as shown in Fig.1. Potential attackers can use such information to reconstruct every character the victim inputs.
Note that the demo exploits the latest 7.0.4 version of iOS system on a non-jailbroken iPhone 5s device successfully. We have verified that the same vulnerability also exists in iOS versions 7.0.5, 7.0.6 and 6.1.x. Based on the findings, potential attackers can either use phishing to mislead the victim to install a malicious/vulnerable app or exploit another remote vulnerability of some app, and then conduct background monitoring.
Apple ya estaría informada por FireEye así que habrá que esperar para conocer una solución. De momento, lo que sí podemos hacer es instalar y usar sólo aplicaciones que consideremos seguras. Y en caso de duda, mediante el administrador de tareas, cerrar todas aquellas apps que no estemos usando.
Vía | ArsTechnica Más información | FireEye
Ver 11 comentarios