-
Recomiendan actualizar a las últimas versiones de iOS 16.4.1 y macOS 13.3.1
-
La vulnerabilidad fue detectada por la firma de seguridad Amnesty Tech.
Apple lanza una actualización de emergencia para sus sistemas operativos iOS y macOS después de descubrirse dos vulnerabilidades graves que podrían comprometer la seguridad de los dispositivos.
La vulnerabilidad en cuestión fue descubierta por la firma de seguridad Amnesty Tech. Dada la naturaleza de la brecha de seguridad, esta podría afectar a las wallet de criptomonedas que se tengan instaladas dentro del dispositivo Apple.
Las vulnerabilidades descubiertas se refieren al motor WebKit y al objeto IOSurfaceAccelerator, ambos presentes en los sistemas operativos de Apple. La primera vulnerabilidad, denominada CVE-2023-28205, se refiere al motor WebKit, que es la base del navegador Safari y se puede utilizar para ejecutar código arbitrario en un dispositivo a través de una página maliciosa.
La segunda vulnerabilidad, la CVE-2023-28206, se encuentra en el objeto IOSurfaceAccelerator y se puede usar para ejecutar código con permisos básicos del sistema operativo, lo que permite a los atacantes hacer prácticamente cualquier cosa con el dispositivo infectado. Entre las acciones que podrían ejecutar los atacantes se incluye la posibilidad de extraer las llaves privadas de las wallets de criptomonedas. Además, las dos vulnerabilidades se pueden usar juntas para penetrar en el dispositivo y explotar la vulnerabilidad IOSurfaceAccelerator.
En respuesta a la situación, Apple ha lanzado actualizaciones para una amplia variedad de sistemas operativos, incluyendo macOS 11, 12 y 13, iOS/iPadOS 15 y 16 y tvOS 16. La compañía recomienda actualizar todos los dispositivos Apple a la última versión, de ser posible.
Cabe destacar que esta no es la primera vez que se detecta este tipo de vulnerabilidades en dispositivos Apple. En abril de 2020, CriptoNoticias reportó como las wallets de criptomonedas podrían estar en peligro luego de detectarse una brecha de seguridad en la aplicación de mail en los Iphone.
Los atacantes pueden hacer lo que quieran con tu equipo
El problema de este tipo de vulnerabilidades es que pueden ser explotadas en lo que se conoce como «ataques de clic cero», lo que significa que el dispositivo se infecta sin la intervención del usuario, sino simplemente visitando un sitio web malicioso. Por lo tanto, incluso si no utiliza el navegador Safari, es importante actualizar los sistemas operativos para protegerse contra estas vulnerabilidades.
Al poder acceder a cualquier función dentro del dispositivo, es probable que las llaves privadas, almacenadas dentro de este, puedan ser vulnerables, aunque por lo general la wallets aplican técnicas de encriptación para protegerlas. No obstante, siempre es recomendable utilizar hardware wallet, que extraen la llave privada, y la almacena en un dispositivo seguro.
Cabe destacar que la actualización es crítica, ya que se sabe que los atacantes están explotando activamente estas vulnerabilidades para instalar spyware. Aunque Apple no ha divulgado los detalles, es probable que otros ciberdelincuentes comiencen a explotar estas vulnerabilidades en el futuro cercano.
