Un grupo de Hackers han descubierto una vulnerabilidad del tipo ZeroDay en la última versión del sistema operativo de iPhone, iOS 9. Esta vulnerabilidad permitiría a un atacante tener acceso de forma remota un iPhone e instalar cualquier APP, algo así como un Jailbreak malicioso y remoto. El ZeroDay fue descubierto en mediante un bug […]
Un grupo de Hackers han descubierto una vulnerabilidad del tipo ZeroDay en la última versión del sistema operativo de iPhone, iOS 9. Esta vulnerabilidad permitiría a un atacante tener acceso de forma remota un iPhone e instalar cualquier APP, algo así como un Jailbreak malicioso y remoto.
El ZeroDay fue descubierto en mediante un bug bounty challenge organizado por la startup Francesa Zerodium, que su principal negocio es comprar y vender exploits ZeroDay.
El mes pasado Zerodium lanzó un bug bounty challenge que tenía como objetivo encontrar una vulnerabilidad que permitiera a un atacante comprometer de forma remota un dispositivo Apple que no tuviese aplicado ningún Jailbreak. Además el ámbito para explotar la vulnerabilidad debía ser mediante una página web del navegador Safari o Chrome, por un mensaje de texto o a través del browser que usan las apps de iOS.
Al tener un ámbito acotado y un objetivo definido, claramente se trata de un requerimiento específico de algún cliente de Zerodium, quizás qué agencia de espionaje, gobierno u organización está detrás de esto.
A través de Twitter, el fundador de Zerodium confirmó que un grupo anónimo de Hackers ganó la recompensa de 1 millón de dólares, por encontrar un exploit remoto que permite hacer Jailbreak mediante el navegador de dispositivos Apple que usan la versión iOS 9.1/9.2b. Hablamos de una recompensa que alcanza los 700 millones de pesos.
El peligro potencial de este exploit es enorme ya que normalmente se asocia el concepto Jailbreak a poder instalar apps que no sean de la App Store, sin embargo con este exploit podríamos por ejemplo ejecutar un Payload en un iPhone para espiar todas sus comunicaciones, mensajes de texto, conexiones a internet, llamadas telefónicas, etc.
Ahora solo queda esperar que Apple solucione la vulnerabilidad, será un trabajo difícil considerando que no se han revelado mayores detalles de este ZeroDay.
En Septiembre del año 2014, Google Chome anunció que comenzaría a marcar como inseguros o como obsoletos los sitios que utilicen firmas débiles en sus certificados HTTPS. En la actualidad, el 50% de la Banca en línea chilena utiliza este tipo de certificados. Para Chrome, el hecho de que un algoritmo sea obsoleto se debe […]
En los últimos meses se han divulgado una serie de vulnerabilidades que afectan a los protocolos de comunicación segura SSL/TLS. Estas vulnerabilidades afectan la integridad y confidencialidad de la información y en algunos casos facilitan los ataques de denegación de servicio. Las vulnerabilidades consideran distintos aspectos de una comunicación segura, como los protocolos utilizados, los […]