Un hacker descubre una serie de exploits dentro de Safari que podrían tener implicaciones aterradoras para los usuarios de iPhone, iPad y Mac.
Recientemente se descubrió una vulnerabilidad en los permisos de la aplicación de Apple que podría haber otorgado acceso a las cámaras, micrófonos y pantallas de las personas en iOS y MacOS. Como la mayoría de exploits y hacks, este aprovecha las suposiciones que hicieron los diseñadores de los sistemas de permisos de Apple e interactúa con esas configuraciones de una manera que esos diseñadores no consideraron. No es algo con lo que el usuario común se hubiera encontrado alguna vez, pero un hacker informado podría haber usado este exploit de manera aterradora.
El 'hacker' en este caso es Ryan Pickren, que podría considerarse famoso en Internet en este momento. Se ha hecho un nombre por sí mismo como un hacker contratado encargado de usar su conjunto de habilidades para ayudar a las organizaciones a descubrir y cerrar agujeros en su seguridad en línea. Su fama es a la vez impresionante e inquietante, ya que ha logrado increíbles hazañas de intrusión técnica. Después de un breve enfrentamiento con el sistema judicial por un hackeo ilegal que hizo en el equipo de fútbol de un rival colegiado, decidió usar sus poderes para siempre y embarcarse en una carrera persiguiendo recompensas de errores para United Airlines.
Continuar desplazándose para seguir leyendo Haga clic en el botón de abajo para comenzar este artículo en vista rápida.
Por suerte, Pickren está de nuestro lado, ya que su descubrimiento de la falla de seguridad con los permisos de iOS se entregó a Apple y se corrigió. El problema surgió de la forma en que los dispositivos Apple solicitan acceso al hardware de un dispositivo. Una aplicación típica le pedirá al usuario que le dé acceso a herramientas como la cámara, el calendario, los contactos, etc. Cualquier usuario de teléfono inteligente está familiarizado con esa ventana emergente. Sin embargo, las aplicaciones propias de Apple, como Safari, tienen acceso virtualmente automático a las funciones del dispositivo. Luego, Safari es capaz de otorgar ese acceso a los sitios web que visita un usuario, para facilitar cosas como las versiones web de Skype y Zoom para obtener acceso instantáneo a la cámara y el micrófono de un teléfono para videoconferencias. Esta conveniencia, sin embargo, es también la vía que conduce a este exploit.
Cómo Safari pudo haber expuesto las cámaras de las personas
La publicación del blog de Ryan Pickren sobre este tema brinda una explicación exhaustivamente detallada de cómo funciona todo esto, pero la versión extremadamente condensada es que pudo engañar a Safari para que hiciera una suposición falsa de qué sitios web está viendo un usuario. A través de algunas secuencias de comandos inteligentes, logró convencer a Safari de que una dirección web y su contenido eran los mismos que los de un sitio web diferente (de confianza) y provocaron que el navegador le diera acceso al dispositivo al sitio falso.
Esto, nuevamente, no es algo que cualquier hacker promedio hubiera podido lograr, pero en la naturaleza, esto podría haber significado que la cámara y el micrófono del iPhone de cualquier persona podrían encenderse y configurarse para grabar si visitaban los sitios web equivocados. Además, podría lograrse sin que el usuario lo sepa, incluso si solo visitó sitios que pensaban que eran seguros . Es esencialmente la peor pesadilla de vigilancia de todos. Afortunadamente, Apple trabajó con Pickren para resolver el problema y reparó los agujeros que lo causaron el mes pasado. Por su trabajo, el hacker fue recompensado con 75.000 dólares.
Fuente: Ryan Pickren