Los investigadores de seguridad de Google han descubierto seis vulnerabilidades en el sistema operativo iOS de Apple a las cuales se les denomina como «interacción cero», que correspoden a errores que pueden permitir que un atacante tome el control del iPhone sin que el usuario tenga que hacer nada más que recibir y abrir un mensaje.
Cinco de ellos se han solucionado en iOS 12.4, pero Apple aún no ha podido cerrar por completo el sexto
Google ha publicado un código de prueba de concepto para explotar los errores corregidos por Apple y dos miembros del Proyecto Cero, el equipo de búsqueda de errores de élite de Google, han publicado detalles y código de explotación de demostración para cinco de los seis errores de seguridad «sin interacción» que afectan el sistema operativo iOS y pueden ser explotados a través del cliente iMessage
Ejemplo del fallo explicado en códigos y en la realidad según descubrimiento de Google
Según el investigador, cuatro de los seis errores de seguridad pueden conducir a la ejecución de código malicioso en un dispositivo iOS remoto, sin necesidad de interacción del usuario tan solo con que un atacante envíe un mensaje con formato incorrecto al iPhone de la víctima, y el código malicioso se ejecutará una vez que el usuario abra y vea el elemento recibido
Aunque Apple intentó eliminar las seis vulnerabilidades en iOS 12.4, Google dice que no tuvo éxito con una de ellas y los detalles sobre una de las vulnerabilidades «sin interacción» se han mantenido privados porque el parche iOS 12.4 de Apple no resolvió por completo el error, según Natalie Silvanovich, uno de los dos investigadores de Google Project Zero que encontraron e informaron los errores.
La mayoría de las vulnerabilidades de iOS y macOS funcionan engañando al usuario para que ejecute una aplicación o revelando sus credenciales de ID de Apple y una interacción cero no se basa en nada más que abrir un mensaje.
Tales descubrimientos valen enormes sumas de dinero en el mercado negro, y tanto las corporaciones como los gobiernos desean comprarlos.