Fallo de seguridad permite robar datos del iPhone de manera remota

Un equipo de investigadores, compuesto por Richard Zhu y Amat Cama, ha descubierto un fallo de seguridad que permite hackear un iPhone para robar archivos y datos de manera remota.

De acuerdo con el informe del hallazgo publicado en Forbes, los investigadores lanzaron el ataque contra un iPhone X con iOS 12.1 instalado, a través de un punto de acceso WiFi malicioso.

El ataque explotaba una vulnerabilidad del navegador de Apple, Safari, en concreto un bug de la compilación en tiempo de ejecución, también conocida como JIT por sus siglas en inglés (Just In Time). La compilación en tiempo de ejecución tiene la finalidad de permitir que el iPhone tenga un funcionamiento más fluido, pero como todo software también puede ser vulnerable a los ataques.

Mediante este ataque, el equipo fue capaz de recuperar una foto que había sido previamente borrada en el iPhone, y que había pasado a la carpeta de Eliminados recientemente, donde el sistema operativo almacena las fotos borradas durante 30 días antes de proceder a su eliminación permanente.

Al parecer, los investigadores podrían haber extraído más información del dispositivo, además de las fotos. El equipo solo utilizó el primer archivo que encontró en el dispositivo para llevar a cabo su demostración, pero aseguran que podrían haber obtenido otros datos. 

Tras llevar a cabo el ataque, Zhu y Cama informaron a Apple del hallazgo y la compañía de Cupertino les ha recompensado por 50.000 dólares. Por el momento, la vulnerabilidad de iOS 12.1 que les ha permitido extraer datos del iPhone continúa abierta hasta que Apple lance un parche para ponerle solución.

Por otro lado, esta pareja de investigadores también ha comprometido distintos dispositivos Android, de los que ha podido robar información. En concreto se trata del Samsung Galaxy S9 y del Xiaomi Mi 6, y las vulnerabilidades se demostraron en el marco del concurso Mobile Pwn20wn en Tokio (Japón).