Se ha descubierto tres fallos graves en los protocolos de intercambio de recursos en el cruce de aplicaciones entre OS X y la plataforma móvil iOS, los cuales se podrían utilizar con éxito para el robo de datos de los usuarios de forma fraudulenta. Te contamos todos los detalles sobre estos fallos de seguridad.
Encontrados tres fallos graves de seguridad en iOS y OS X
Los tres fallos de seguridad han sido descubiertos por un grupo de seis investigadores entre la Universidad de Indiana, Georgia Tech y la Universidad de Beijing de China y se engloban en torno a la lista de control de acceso de KeyChain o llavero en castellano, los contenedores de aplicaciones de OS X y los esquemas de URL que permiten realizar llamadas de unas aplicaciones a otras.
Apple fue avisada de estas vulnerabilidades en octubre del año pasado y pidieron una prórroga de seis meses antes de que estos fallos se hicieran públicos, la cual fue concedida y es ahora cuando tenemos conocimiento de ellos.
La vulnerabilidad en el llavero o KeyChain, deriva en la incapacidad para verificar que aplicaciones tienen derecho a modificar varios datos. Si los hackers hacen uso de este fallo de seguridad, pueden borrar datos existentes o crearlos a su antojo. En el vídeo que continua a este párrafo se muestra cómo se elimina una entrada del llavero de iCloud de otro usuario, haciendo uso de una aplicación maliciosa para ello. Después de iniciar sesión en iCloud a través de las preferencias de sistema, la aplicación maliciosa recupera con éxito las claves almacenadas en esta entrada. Este ataque también se utiliza parar recuperar las contraseñas almacenadas en los llaveros de iCloud mediante el navegador Chrome. Según los informes, Google plantea eliminar el acceso al llavero de iCloud de su navegador hasta que se encuentre una solución a este problema.
En el siguiente vídeo se puede observar como existe otra vulnerabilidad en las aplicaciones de OS X, con la que algunas de las apps de la tienda de aplicaciones de Mac pueden acceder a los datos pertenecientes de otra aplicación, sin el permiso del usuario. Esta es la vulnerabilidad que pueden aprovechar los hacker para el robo de información.
Por último, la tercera vulnerabilidad que se ha encontrado en los esquemas de las URL, permite extraer información a través de las URL de otras aplicaciones. Con ello se podría extraer el usuario y Password de un usuario de Facebook, a través de la URL directamente. Todos estos defectos permanecen aún en las últimas versiones de OS X Yosemite y no sabemos si habrán sido subsanados en la nueva versión OS X El Capitán, la cual fue anunciada en la pasada WWDC.
Mientras Apple intenta corregir este problema, que afecta a la forma de interactuar de iOS y OS X con las aplicaciones y que requeriría modificaciones significativas en ambos sistemas operativos, lo mejor es que no instales ninguna aplicación de fuentes desconocidas de momento, mientras se encuentra la solución a estos tres errores graves y que hemos conocido gracias a Appleinsider.
También te interesa: 1.500 Apps de iPhone y iPad Tienen un Grave Fallo de Seguridad
El artículo Encontrados Varios Fallos Graves de Seguridad en iOS y OS X fue publicado primero en iPadizate.
Continúar leyendo...
Encontrados tres fallos graves de seguridad en iOS y OS X
Los tres fallos de seguridad han sido descubiertos por un grupo de seis investigadores entre la Universidad de Indiana, Georgia Tech y la Universidad de Beijing de China y se engloban en torno a la lista de control de acceso de KeyChain o llavero en castellano, los contenedores de aplicaciones de OS X y los esquemas de URL que permiten realizar llamadas de unas aplicaciones a otras.
Apple fue avisada de estas vulnerabilidades en octubre del año pasado y pidieron una prórroga de seis meses antes de que estos fallos se hicieran públicos, la cual fue concedida y es ahora cuando tenemos conocimiento de ellos.
La vulnerabilidad en el llavero o KeyChain, deriva en la incapacidad para verificar que aplicaciones tienen derecho a modificar varios datos. Si los hackers hacen uso de este fallo de seguridad, pueden borrar datos existentes o crearlos a su antojo. En el vídeo que continua a este párrafo se muestra cómo se elimina una entrada del llavero de iCloud de otro usuario, haciendo uso de una aplicación maliciosa para ello. Después de iniciar sesión en iCloud a través de las preferencias de sistema, la aplicación maliciosa recupera con éxito las claves almacenadas en esta entrada. Este ataque también se utiliza parar recuperar las contraseñas almacenadas en los llaveros de iCloud mediante el navegador Chrome. Según los informes, Google plantea eliminar el acceso al llavero de iCloud de su navegador hasta que se encuentre una solución a este problema.
En el siguiente vídeo se puede observar como existe otra vulnerabilidad en las aplicaciones de OS X, con la que algunas de las apps de la tienda de aplicaciones de Mac pueden acceder a los datos pertenecientes de otra aplicación, sin el permiso del usuario. Esta es la vulnerabilidad que pueden aprovechar los hacker para el robo de información.
Por último, la tercera vulnerabilidad que se ha encontrado en los esquemas de las URL, permite extraer información a través de las URL de otras aplicaciones. Con ello se podría extraer el usuario y Password de un usuario de Facebook, a través de la URL directamente. Todos estos defectos permanecen aún en las últimas versiones de OS X Yosemite y no sabemos si habrán sido subsanados en la nueva versión OS X El Capitán, la cual fue anunciada en la pasada WWDC.
Mientras Apple intenta corregir este problema, que afecta a la forma de interactuar de iOS y OS X con las aplicaciones y que requeriría modificaciones significativas en ambos sistemas operativos, lo mejor es que no instales ninguna aplicación de fuentes desconocidas de momento, mientras se encuentra la solución a estos tres errores graves y que hemos conocido gracias a Appleinsider.
También te interesa: 1.500 Apps de iPhone y iPad Tienen un Grave Fallo de Seguridad
El artículo Encontrados Varios Fallos Graves de Seguridad en iOS y OS X fue publicado primero en iPadizate.
Continúar leyendo...