Habitualmente estamos acostumbrados (aunque no debería ser así) a que nuestros móviles se infecten con algún virus o malware por descargar aplicaciones que no deberíamos. Este es el pan nuestro de cada día pero Apple y su iPhone no es que estén a salvo de la quema. De hecho, Google afirma que miles de unidades del teléfono de los de Cupertino podrían haber sido infectados (y hackeados) simplemente visitando una serie de páginas web.
Los investigadores de seguridad de Google afirman que han encontrado una serie de sitios web maliciosos que, cuando se visitan, pueden piratear el iPhone de la víctima de forma inocua, sin que el mismo se de cuenta. Ello se consigue mediante la explotación de una serie de vulnerabilidades presentes en iOS de los que Apple no tendría conocimiento. Según informa la compañía, estas páginas web se visitaron miles de veces por semana.
Simplemente con visitar el sitio «alterado» es suficiente para que el servidor ataque al dispositivo de acceso a dicha página web. Si el trabajo se ha realizado correctamente, es posible que el sitio web realice un monitoreo del teléfono de Apple.
Hackeando el iPhone
Los investigadores encontraron cinco vulnerabilidades distintas que acumulan una decena de fallos de seguridad, siente de ellos presentes en safari, el navegador web del iPhone. Todas ellas juntas permiten a un atacante obtener acceso a la raíz del dispositivo, el más alto nivel de acceso y privilegios que se puede conseguir en un iPhone. De este modo, un atacante podría obtener acceso características que normalmente tienen un acceso prohibido para el usuario.
Esto no significa otra cosa más que un atacante podría instalar en silencio aplicaciones maliciosas para espiar a un propietario de iPhone sin su conocimiento o consentimiento. De hecho Google afirma que estas vulnerabilidades se utilizaron para robar fotos y mensajes del usuario, así como realizar un seguimiento de su ubicación casi en tiempo real. El “virus” también podría haber tenido acceso a la información bancaria alojada en el dispositivo y a las contraseñas guardadas.
Estas vulnerabilidades estaban presentes en versiones de software desde iOS 10 a iOS 12 y Apple las ha corregido en iOS 12.1.4. Por este motivo, habiendo pasado 90 días ya desde el descubrimiento y aviso de los mismos por parte de Google a Apple, el gigante de Internet ha hecho pública ahora esta información.