Dos miembros del equipo de Google Project Zero publicaron seis errores en el servicio de mensajería que haría a los usuarios de iPhone extremadamente vulnerables. Los investigadores, Samuel Groß y Natalie Silvanovich, de seguridad cibernética de Google finalmente han revelado detalles y exploits de prueba de concepto para 4 de cada 5 vulnerabilidades de seguridad que podrían permitir a los atacantes remotos apuntar a dispositivos Apple iOS simplemente enviando un mensaje creado maliciosamente a través de iMessage.




En uno de los casos reportados sobre iPhone, los investigadores dijeron que "la vulnerabilidad era tan grave que la única forma de rescatar un iPhone que había sido atacado sería eliminar todos los datos que tenía almacenados". Otra de las fallas permitiría que se hicieran copias de los archivos de un dispositivo sin la autorización del propietario.

• CVE-2019-8647 (RCE via iMessage) — This is a use-after-free vulnerability that resides in the Core Data framework of iOS that can cause arbitrary code execution due to insecure deserialization when NSArray initWithCoder method is used.
• CVE-2019-8662 (RCE via iMessage) — This flaw is also similar to the above use-after-free vulnerability and resides in the QuickLook component of iOS, which can also be triggered remotely via iMessage.
• CVE-2019-8660 (RCE via iMessage) — This is a memory corruption issue resides in Core Data framework and Siri component, which if exploited successfully, could allow remote attackers to cause unexpected application termination or arbitrary code execution.
• CVE-2019-8646 (File Read via iMessage) — This flaw, which also resides in the Siri and Core Data iOS components, could allow an attacker to read the content of files stored on iOS devices remotely without user interactions, as user mobile with no-sandbox.
• CVE-2019-8641 Todavía privado, sin parche

La semana pasada Apple corrigió estos errores (CVE-2019-8647, CVE-2019-8660, y CVE-2019-8662), pero los investigadores afirman que encontraron una sexta falla que no ha sido corregida con la más reciente actualización del sistema operativo.

El quinto y sexto bug (CVE-2019-8624 y CVE-2019-8646) permitiría a un atacante filtrar información de la memoria del dispositivo y leer archivos de forma remota, sin interacción del usuario. ZDnet señala que el nivel de detalle compartido por Google sobre los otros errores podría ser suficiente para permitir que los delincuentes intentaran explotar esas debilidades.


En los parches que lanzó la semana pasada, Apple dijo que había solucionado este problema al mejorar su validación de entrada. El parche no funcionó, según Silvanovich:

@5aelo We are withholding CVE-2019-8641 until its deadline because the fix in the advisory did not resolve the vulnerability
—
Natalie Silvanovich (@natashenka) July 29, 2019

Natalie Silvanovich, una de las investigadoras de Google, planea compartir más detalles de sus hallazgos durante el evento de seguridad informática Black Hat, que tendrá lugar en agosto en Las Vegas.

• Look, No Hands! -- The Remote, Interaction-less Attack Surface of the iPhone

Según la sinopsis de su presentación, Silvanovich también hablará de posibles fallas del servicio de buzón de voz visual de Apple, que permite ver una lista de los mensajes y elegir cuáles se quiere escuchar o eliminar. También presentará posibles debilidades en la app de correo de Apple.

Uno de los jefes de seguridad de Apple también participará en este evento, donde ofrecerá una charla en la que promete mostrar "el detrás de cámaras de la seguridad de iOS y Mac".

Las vulnerabilidades como esta que son vendidas en el mercado de exploits pueden superar el millión de dólares, de acuerdo al precio publicado por Zerodium o incluso 2 a 4 millones de acuerdo a Crowdfense.


Dado que las vulnerabilidades de prueba de concepto para estas seis vulnerabilidades de seguridad ahora están disponibles para el público, se recomienda a los usuarios que actualicen sus dispositivos Apple a la última versión del software lo antes posible.

Por eso, Apple afirma que los usuarios deben descargar iOS 12.4 y watchOS 5.3 "sin demora".

Fuentes:
https://blog.segu-info.com.ar/2019/07/google-project-zero-publica-6.html