Las grandes tecnológicas son las que tienen que prestar mucha más atención a toda la seguridad de sus infraestructuras, software y todo tipo de hardware porque en las mismas se amparan millones de personas entre clientes y empleados, y un fallo de seguridad puede ser catastrófico.

Ahora un equipo de investigadores de seguridad llegó a analizar varios servicios en línea de Apple durante tres meses encontrando hasta 55 vulnerabilidades, 11 de las cuales se trataron como críticas. El resto fueron 29 vulnerabilidades de gravedad alta, 13 de gravedad media y 2 de gravedad baja.

Si se hubieran logrado explotar un atacante podría haber comprometido completamente las aplicaciones de los clientes y empleados, pudiendo lanzar un malware de tipo gusano capaz de hacerse cargo automáticamente de la cuenta de iCloud de la víctima, pero también recuperar el código fuente de proyectos internos de Apple, comprometer por completo un software de almacén de control industrial utilizado por Apple e incluso hacerse cargo de las sesiones de los empleados de Apple con la capacidad de acceder a herramientas de gestión de recursos sensibles.

En lo que compete más a un usuario común, estos fallos se podrían haber explotado para secuestrar la cuenta de iCloud y robar así todas las fotos, información del calendario, vídeos y documentos, además de poder reenviar el mismo exploit a todos sus contactos.

Los investigadores que encontraron todos los fallos fueron por Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb y Tanner Barnes y analizaron los servicios de Apple entre julio y septiembre de este año.

En cuanto informaron a los de Cupertino, Apple tomó medidas para corregir los fallos en un plazo de 1 a 2 días e incluso algunos fallos se solventaron en un breve lapso de tiempo de 4 a 6 horas. De momento han procesado alrededor del 28 de las vulnerabilidades pagándolas a los descubridores un total de 288.500 dólares como parte de su programa de recompensas por errores.

Alguno de los errores más importantes fue uno que afectaba directamente al sitio Apple Distinguished Educators que permitía una omisión de autenticación utilizando una contraseña predeterminada, permitiendo al atacante acceder a la consola de administrador y ejecutar código arbitrario.

También encontraron un fallo en el proceso de restablecimiento de contraseña asociada con una aplicación llamada DELMIA Apriso que es una solución de administración de almacén.

Igualmente un fallo relacionado con una vulnerabilidad en el servicio de Apple Books for Authors que utilizan los escritores para ayudar a redactar y publicar sus libros en la plataforma Apple Books.

Hay muchos más errores y algunos de ellos reproducidos en el vídeo que acompaña a la noticia.

[Via: thehackernews]