Una nueva amenaza en tu iPhone puede espiarte y robar todos tus datos

Lo cierto es que Apple lleva una temporada bastante negra en lo que a seguridad se refiere ya que no acierta a cerrar algunos de los agujeros de seguridad que tenía abiertos y que los investigadores llevan ya algunas semanas advirtiendo que se mantienen al albur de lo que decida hacer un hacker. Algo que afecta, además, a la última versión de iOS.

Efectivamente, iOS 13.4.1 se lanzó a principios del mes de abril con el objetivo de mejorar el rendimiento de los terminales, acabar con algunos agujerillos de seguridad y tapar potenciales amenazas, además de meter pico y pala en la forma que compartimos archivos desde iCloud. Pues bien, es precisamente a esa release a la que apunta ahora un investigador.

El responsable de este descubrimiento es un hacker suizo que se hace llama Siguza, y que en su publicación en GitHub afirma que "los datos personales de los usuarios pueden ser pirateados debido a un error en la lectura de archivos XML". De esta manera, un grupo de piratas que conozcan esta falla podrían desarrollar aplicaciones que alojar sin problemas en la App Store para, desde allí, terminar en los terminales de sus potenciales víctimas.

Permisos con privilegios ilimitados

Sobre el papel, una aplicación que sepa aprovechar esta falla le permitiría tener privilegios ilimitados para acceder a cualquier rincón del smartphone, lo que llevaría al atacante a entrar sin problemas en todos aquellos lugares donde se almacene información relevantes: datos personales, documentos, correos electrónicos, comunicaciones y, por supuesto, claves y contraseñas que iOS 13 almacena todas juntas en un mismo llavero centralizado.

El propio hacker no está seguro de que alguien haya aprovechado esta vulnerabilidad para introducir en la App Store alguna aplicación con código malicioso en su interior, pero deja la puerta abierta a que esto se pueda producir en un futuro si Apple no pone remedio con un parche. De momento, asoma por el horizonte una nueva release, la 13.5, de la que no hay noticias sobre qué fallas de seguridad podría arreglar.

Siguza también afirma que este error "zero day" se podría haber utilizado de manera continua en los últimos años y no ha dudado en escribir en un tuit el código que activaría esta falla. En una publicación admite que "se usó miles de veces al año y probablemente me ha ahorrado la misma cantidad de horas. Y la hazaña es probablemente la más confiable, limpia y elegante que jamás haya escrito en toda mi vida. ¡Y hasta cabe en un tweet!".

El hacker continúa preguntándose "¿cómo podría existir un error como ese? [...] ¿Por qué seguimos usando XML incluso? [...] Es probable que errores como estos se encuentren entre los más difíciles de detectar, y realmente no tengo idea de cómo diablos pude encontrarlo, mientras que muchos otros no lo hicieron". De momento, la amenaza sigue presente y es muy posible que la siguiente versión del OS no lo resuelva. ¿Estará a tiempo Apple de arreglarlo?