Google acaba de divulgar una serie de fallos de seguridad que afectaban a todas las plataformas de Apple. Centrados en los componentes de procesado de archivos multimedia, a un atacante le bastaba con enviar una imagen corrupta como vector de ataque. Al ser un ataque zero-click, no requiere interacción por parte del usuario.
Veamos en qué consisten estos bugs ya corregidos por Apple.
El framework ImageIO como talón de Aquiles
Como sabemos, Google cuenta con un equipo centrado únicamente en la búsqueda y análisis de errores de seguridad en plataformas propias y ajenas. Se trata de Project Zero, cuyos descubrimientos se dan a conocer primero al propietario de la plataforma, para que tenga un tiempo prudencial para repararlo. Una vez superado este tiempo o bien cuando es corregido, se divulga al público.
En esta ocasión, Project Zero ha publicado una entrada en su blog donde detalla un proceso llamado "fuzzing ImageIO". Algo así como la distorsión de la API de imagen utilizada por Apple en todas sus plataformas. Por tanto, se trata de una vulnerabilidad que afecta tanto a iOS como iPadOS, macOS, watchOS y tvOS.
Dado su papel protagonista en las plataformas, así como el uso que hacen apps de terceros, es un objetivo muy suculento. En ZDNet tienen un análisis de los bugs donde afirman:
El equipo de Project Zero dijo que han empleado una técnica llamada "fuzzing" [distorsión] para examinar cómo manejaba ImageIO archivos de imágenes malformados. El proceso de distorsión alimentaba al ImageIO inputs inesperados con la intención de detectar anormalidades y posibles puntos de entrada para ataques futuros en el código del framework.
Los errores se han encontrado en ImageIO así como en OpenEXR, con seis y ocho bugs respectivamente. OpenEXR es una librería open-source para el análisis de archivos de imágenes y que se encuentra dentro del ImageIO.
Vulnerabilidades que ya han sido resueltas en todos los sistemas de Apple
Es muy posible que, con suficiente esfuerzo (e intentos de expolio aceptados gracias al reinicio automático de servicios), algunas de las vulnerabilidades encontradas pudieran ser explotadas por RCE en un ataque zero-click.
Así finaliza el documento de Google, donde se detalla los descubrimientos hechos por el equipo. Los errores en sí mismos no son peligrosos, sino el uso que se haga de ellos. Son un medio para proporcionar acceso sin ninguna intervención del usuario. Y dada la prevalencia de los servicios de mensajería, Google recomienda hacer tests de fuzzing constantemente.
Según indican en el documento, Apple ya ha corregido todos los errores con una actualización de software. En concreto, iOS 13.3.1, iPadOS 13.3.1, tvOS 13.3.1 macOS Catalina 10.15.3. Para macOS Mojave y macOS High Sierra se han lanzado actualizaciones de seguridad. Todas ellas desde enero, aunque en abril también se han lanzado actualizaciones que corrigen el problema, sin especificar cuáles.
Tener un sistema seguro por completo es imposible para cualquier empresa (estos últimos días ha habido varios). Pero corregir los fallos cuanto antes sí que es algo que está al alcance y Apple se lo toma en serio. Como siempre, es muy recomendable tener el equipo con la última versión de software disponible (salvo que puedas tener problemas en determinadas apps aún sin actualizar).
Ver 12 comentarios