Apple no quiere que Google "avive el miedo" sobre las graves vulnerabilidades de seguridad de iOS – TechCrunch


manzana ha emitido una respuesta agria a un extenso informe de Google de un grave falla de seguridad en iOS. La falla, que permitió a un atacante obtener acceso de root a un dispositivo que visitaba un sitio web malicioso, se informó la semana pasada. Apple quiere "asegurarse de que todos nuestros clientes tengan los hechos", lo cual es divertido, porque es probable que no tengamos ninguna de los hechos si Google no hubiera documentado tan rigurosamente este problema.

En una breve publicación de noticias, Apple dice que ha escuchado las preocupaciones de sus clientes y quiere asegurarse de que sepan que no están en riesgo.

El ataque, dice Apple, fue "focalizado" y no un exploit "en masa". "El ataque afectó a menos de una docena de sitios web que se centran en el contenido relacionado con la comunidad uighur", escribió Apple. TechCrunch fue el primero en informar

que los uigures, un grupo étnico musulmán en China que actualmente recibe una gran cantidad de opresión y abuso allí, fueron el objetivo de este ataque. La carta de Apple confirma ese informe.

Si bien es cierto que solo un pequeño número de sitios web se vieron afectados, Google dijo que esos sitios web fueron visitados miles de veces por semana, y los ataques estuvieron activos durante aproximadamente dos meses. Incluso una estimación conservadora basada en estos números sugiere que más de cien mil dispositivos podrían haber sido probados fácilmente y, si fueran vulnerables, infectados. Si solo 1 de cada 100 fueran iPhones, eso sería acceso raíz a miles de la población objetivo. Esa estimación de fondo ya me suena bastante "en masa".

Además, si bien puede hacer que los no uigures entre nosotros se sientan mejor de que no fuimos el objetivo de esta campaña, es un consuelo frío ya que el grupo demográfico objetivo podría haber sido una institución política o religiosa en la que participamos.

Vale la pena mencionar que las campañas dirigidas a dispositivos Android no se discutieron y es muy probable que también hayan sido otro lado del ataque en cuestión. Sin duda, los investigadores también están estudiando esta posibilidad, ya que Android es más popular que iOS en estas regiones y también tendría sentido apuntar a esa plataforma.

Apple está en desacuerdo con la sugerencia de Google de que esto ofrecía "la capacidad de apuntar y monitorear las actividades privadas de poblaciones enteras en tiempo real". Esto fue, según Apple, "avivando el temor entre todos los usuarios de iPhone de que sus dispositivos habían sido comprometidos".

Sin embargo, la advertencia de Google en este caso parece relevante. ¿Un exploit raíz indetectable para iPhones actuales implementado a través de un sitio web popular entre una población objetivo? Eso debería avivar el miedo entre todos los usuarios de iPhone, ya que parece claro que muy bien podrían haberse visto comprometidos antes. Después de todo, no hay evidencia de que este ataque dirigido a los uigures fuera el único.

Apple señala que "cuando Google se nos acercó, ya estábamos en el proceso de corregir los errores explotados". Eso es genial. Pero, ¿quién escribió una larga discusión técnica sobre el tema para que otros investigadores de seguridad, junto con los consumidores, se den cuenta?

Es un poco preocupante para Apple decir que "la seguridad de iOS no tiene parangón" durante la discusión de una hazaña increíblemente peligrosa y poderosa que aparentemente fue desplegada con éxito contra una minoría étnica por, casi con certeza, la única nación-estado que tiene algún interés en hacer asi que. ¿Ha explicado Apple a los uigures cuyos teléfonos fueron invisibles y completamente controlados por software malicioso que está bien porque "la seguridad es un viaje interminable"?

Si los investigadores del Proyecto Cero de Google no documentado este problema, probablemente nunca hubiéramos oído hablar de él, excepto como un punto decimal anónimo de "correcciones de seguridad" en nuestros sistemas operativos móviles.

"Respaldamos nuestra investigación en profundidad que fue escrita para enfocarse en los aspectos técnicos de estas vulnerabilidades", dijo Google en un comunicado a TechCrunch. "Continuaremos trabajando con Apple y otras compañías líderes para ayudar a mantener a las personas seguras en línea".

Viaje o no viaje, esta fue una falla de seguridad grave que parece haber sido explotada con éxito y maliciosamente en la naturaleza. Las uvas agrias de Apple y el lenguaje defensivo están fuera de lugar aquí, y un mea culpa habría sido mejor para la compañía.

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *