Safari en iOS tuvo una grave vulnerabilidad durante 5 años: Google fue quien la descubrió
Safari, el buscador por defecto que está disponible en todos los dispositivos de Apple, se ha visto implicado en una investigación sobre una antigua vulnerabilidad durante 5 años que ha sido explotada de manera masiva. Esto podría llevar a que haya cientos de usuarios afectados por este fallo de seguridad.
Algunos investigadores de Google han descubierto un que un error de seguridad de WebKit de Safari ha sido explotado de manera masiva, este error apareció originalmente en 2013 y se solucionó, pero volvió a aparecer en 2016. Esta API de Safari permitía el acceso al historial de la sesión del navegador y permitía al usuario modificar dicho historial.
Vulnerabilidades antiguas resurgen
Ha sido en febrero de 2022, cuando Apple ha lanzado un parche necesario para poder solucionar este error, el parche fue lanzado para Safari en, iOS, iPadOS y macOS. Este parche ha resurgido hace unos meses de tal forma que pareciera una vulnerabilidad "zombie".
Los dispositivos afectados han sido todos los iPhone 6s y posteriores, todos los modelos de iPad Pro, iPad Air 2 y posteriores, iPad de 5ª generación, iPad mini 4 y posteriores, el iPod Touch de 7ª generación y dispositivos con macOS Big Sur y Catalina.
Estas vulnerabilidades podrían haber sido explotadas de manera masiva, en la que se daba permiso para ejecutar un código aleatorio dentro del WebKit de desarrollo de Safari en iOS. Y como mencionamos antes, era un error tipo "use-after-free()".
Esta vulnerabilidad ha estado activa durante 5 años, y han sido los investigadores de Google Project Zero quienes han descubierto este problema que podría haber afectado a miles de usuarios. No es la primera vez que el equipo de investigación de Google, liderado por Maddie Stone, descubre vulnerabilidades de este tipo.
El rastreo de octubre en 2016 se resume en 40 archivos, 900 adicionales y 1.225 eliminaciones, por otro lado, el rastreo de diciembre del mismo año llego a 95 archivos, 1336 adicionales y 1.325 eliminaciones. Este tipo de vulnerabilidades "zombie" parecen ser una tendencia, ya que son muchas las vulnerabilidades que vuelven en implantaciones de código.
Como ya hemos dicho, por suerte Apple por fin lanzo varios parches y actualizaciones de seguridad el pasado febrero de 2022, por lo que podemos estar seguros de que este error no volverá, al menos eso nos afirma Apple al respecto.
- Ver Comentarios