14 vulnerabilidades en iPhone han sido el objetivo de cinco cadenas de exploits (herramientas que unifican vulnerabilidades de seguridad, permitiendo al atacante penetrar en cada capa de las protecciones digitales de iOS). Estas cadenas forman parte de un ataque que ha durado años; dos de estas vulnerabilidades se trataban de Zero Days.
Los sitios web infectados que fueron utilizados como medio para llevar a cabo el ataque contenían el spyware encargado de robar información de iMessages, fotos y localización GPS en tiempo real, según lo reportado por Ian Beer y el equipo de investigación Project Zero de Google.
«No había un objetivo específico; visitar el sitio hackeado era suficiente para que el exploit se ejecutase en el dispositivo, y en caso de ejecutarse con éxito, se instalaba un módulo de monitorización», escribió Beer en un blog el pasado viernes. «Estimamos que estos sitios reciben miles de visitas cada semana». Los sitios infectados estaban activos desde hace, al menos, dos años.
Beer dijo que en el ataque se habían usado siete bugs para el navegador de iPhone (Safari), cinco para el kernel y dos «sandbox escapes« (exploit que permite acceder a funcionalidades o procesos más allá de lo permitido en una aplicación normalmente). Google ha sido capaz de hacerse con cinco exploits totalmente distintivos y únicos para iPhone, los cuales afectan casi a cada versión de estos dispositivos que van desde iOS 10 hasta la última versión de iOS 12.
LEER MAS: https://unaaldia.hispasec.com/2019/08/iphone-zero-days-un-nuevo-spyware-de-altas-capacidades-puede-monitorizar-toda-la-vida-digital-de-las-personas.html