La forma en que se utilizaron las vulnerabilidades recientes de iOS descubiertas por Project Zero de Google fue “sin precedentes”, según un experto en seguridad. Thomas Reed, director de Mac & Mobile de Malwarebytes, también criticó a Apple por una declaración “mediocre” sobre el tema.
Vulnerabilidades de iOS ‘un gran problema’
Los investigadores de Google revelaron que una serie de sitios web maliciosos aprovecharon los exploits de día cero de iOS. Sr. Reed dijo TMO que “no son un gran problema porque existen, sino por la forma en que se estaban utilizando”. Él explicó:
Estamos acostumbrados a que las vulnerabilidades de iOS se protejan cuidadosamente y se utilicen para ataques muy dirigidos, por lo que este incidente en el que China las usaba para infectar a los visitantes de varios sitios web no tiene precedentes.
Sin embargo, el Sr. Reed señaló que algunos informes recientes sugirieron que los ataques pueden haber sido más dirigidos de lo que se pensaba originalmente. Por ejemplo, los informes indicaron que el estado chino utilizó las vulnerabilidades para espiar a los musulmanes uigures.
También reiteró la importancia de que los usuarios mantengan actualizado su sistema operativo. Señaló que si bien “la mayoría de las vulnerabilidades involucradas ya habían sido reparadas, todavía se estaban usando porque la gente a menudo no actualiza iOS de manera oportuna”.
Respuesta ‘Lackluster’ de Apple
En cuanto a dónde radica la culpa del problema, Reed señaló con el dedo, en parte, a Apple. Él dijo:
En cuanto a quién tiene la culpa, supongo que en cierto modo es culpa de Apple; después de todo, es su sistema y tiene vulnerabilidades. Pero todo software tiene vulnerabilidades, y es importante entender eso y no atacar a un proveedor simplemente porque su software era vulnerable.
Explicó que si bien “Apple solucionó los días cero muy rápidamente, una vez que se descubrieron”, su “declaración fue muy mediocre, esencialmente restando importancia al ataque y señalando con el dedo a Google, en lugar de adueñarse del problema”. El Sr. Reed criticó además el hecho de que “tanto [Apple] y Google Project Zero se sentaron en esta noticia durante seis meses (por razones desconocidas) “.
Añadió:
Google también tiene la culpa de no publicar una lista de dominios afectados, dejando a la comunidad de seguridad adivinando quién se vio afectado. Siento que Apple tiene una queja legítima sobre ese aspecto del informe del Proyecto Cero, que causó más miedo del que se justificaba.
