Vulnerabilidad en iOS permitiría keyloggers

vulnerabilidad keylogger ios

No corren buenos tiempos para la seguridad de iOS. Tan sólo unos días después de que supiésemos que una vulnerabilidad en SSL ponía en riesgo los smartphones y tablets de la marca con el sistema iOS, así como de otra vulnerabilidad que permitía a los hackers interceptar los emails cifrados, ahora sabemos que los iPhone y iPad se encuentran expuestos nuevamente a las manos de los hackers pero en este caso por otra vulnerabilidad.

Apple lanza iOS 7.0.6 y 6.1.6 para arreglar un error de SSL

Investigadores de seguridad han descubierto en sus pruebas en laboratorio un nuevo fallo de seguridad en el sistema operativo iOS de Apple que permitiría informar de cada acción que realiza un usuario en el sistema a un tercero, incluso de cada número o letra tecleada (keylogger).

Ha sido un equipo de la compañía de seguridad FireEye quiénes han explicado cómo pudieron conseguir que una app emplazada en dispositivos que ejecutasen iOS 7, les permitiese monitorizar cada pulsación en la pantalla y enviar la información a un servidor remoto indicado, funcionando como un keylogger.

De esta forma, la información permitiría a los hackers acceder a cada SMS, email o cualquier otra cosa que se haya escrito, y es que en función del punto de la pantalla presionado por el usuario se sabe qué tecla se ha pulsado en el teclado virtual. Pero la app maliciosa desarrollada con fines experimentales también permite memorizar cada vez que se pulsa el botón de inicio, los cambios de volumen o el uso del escáner de huellas dactilares TouchID.

Como hemos venido remarcando en el texto, se trata por el momento de un ataque desarrollado como prototipo y no hay evidencias de que se esté aplicando fuera del laboratorio.

El grupo de investigación en seguridad ya ha informado a Apple de su trabajo y dicen estar colaborando para resolverlo. Así mismo, el equipo ha publicado en su blog que según las evidencias, los atacantes potenciales podrían usar la técnica de phishing para convencer a la víctima de instalar una app maliciosa o vulnerable o explotar cualquier otra vulnerabilidad de alguna app vulnerable y entonces proceder a la monitorización en segundo plano.