Ian Beer, miembro de Project Zero, el grupo de trabajo de Google para encontrar nuevas vulnerabilidades de seguridad, ha publicado una serie de artículos técnicos que describen un ataque dirigido contra los iPhone.
Este ataque se llevó a cabo utilizando sitios web que implantaban de forma discreta un software malicioso para recopilar contactos, imágenes y otros datos. El análisis de Google sugiere que los sitios web con estas «trampas» fueron visitados miles de veces por semana.
«No hubo discriminación de objetivos», afirma el Sr. Beer. «Simplemente visitar el sitio era suficiente para que el servidor atacara el dispositivo, y si tenía éxito, implantase un monitor.»
Beer y su equipo descubrieron que los atacantes estaban usando 12 fallos de seguridad separados para comprometer los dispositivos. La mayoría eran fallos en Safari, el navegador web por defecto de los productos de Apple.
Una vez dentro del iPhone de una persona, el implante podía acceder a una enorme cantidad de datos, incluyendo contactos, imágenes y datos de localización GPS. Esta información se transmitiría a un servidor externo cada 60 segundos.
El implante también era capaz de recoger datos de aplicaciones que una persona estaba usando, como Instagram, WhatsApp y Telegram. Los atacantes pudieron atacar «casi todas las versiones, desde iOS 10 hasta la última versión de iOS 12».
El equipo de Google notificó a Apple de las vulnerabilidades el 1 de febrero de este año. Posteriormente, seis días después, Apple publicó un parche para cerrar la vulnerabilidad.
A diferencia de otros fallos de seguridad, que describen simplemente usos hipotéticos de las vulnerabilidades, Google descubrió que este ataque estaba siendo utilizado por ciberdelincuentes.