En muchas ocasiones, cuando se lanza una actualización de un sistema operativo, sobre todo si es menor, surge la duda y la pereza. ¿Otra vez? ¿Pero qué trae esta actualización? ¿Y si hace que me vaya más lento? ¿Y si le pasa algo y no se actualiza bien? ¿Me merece la pena? Estas preguntas y muchas más pasan por nuestra cabeza cada vez que tenemos ese update anunciado, sobre todo cuando es una actualización menor como la versión 12.1.3. Muchos al final lo dejamos y no le damos importancia: error.
Hace unas semanas os contamos aquí mismo cómo SQLite, la librería de base de datos más importante en movilidad y que Apple usa a lo largo y ancho de su sistema, tenía una serie de fallos de seguridad muy importantes que podían permitir a un atacante acceder a nuestro sistema y obtener control del mismo o acceder a la información almacenada. Aquí tenéis el artículo donde hablamos de ello. Pues bien, esta versión de iOS 12.1.3 corrige esos errores en el sistema. Y no solo eso: en total Apple está corrigiendo un total de 31 boletines de seguridad, solo en iOS con esta versión. Fallos graves que podrían comprometer la seguridad de nuestros dispositivos.
Boletines de seguridad
Lo más importante que tenemos que entender es el concepto de un boletín de seguridad y qué es un fallo de seguridad. Estamos hablando de errores de los que absolutamente nadie está a salvo. Ningún software, sistema operativo... nadie. No estamos hablando de virus o troyanos como programas maliciosos y que pueden llegar a ser detectados. Hablamos de fallos en el software de nuestras aplicaciones o sistemas, que al ser explotados podrían permitir que un atacante acceda al equipo.
Por ejemplo, Natalie Silvanovich, del equipo de Google Project Zero (un equipo de seguridad de Google dedicado a buscar fallos de seguridad en cualquier producto o sistema) detectó un fallo en la app de FaceTime de iOS que permitía que alguien que tuviera acceso a nuestro iPhone a través de red pudiera iniciar una llamada de FaceTime aprovechando un desbordamiento de datos no controlado y al hacerlo, tomar el control remoto del dispositivo.
Este fallo, conocido como buffer overflow es muy común en C, lenguaje base de toda la tecnología hoy día. En C las estructuras de datos como una colección o una cadena, deben tener un tamaño fijo y previamente reservado en la memoria. Pero cuando se envía más información de la que se espera recibir, el lenguaje graba toda esa información por narices en memoria, sobrepasando la zona de memoria reservada. Y eso provoca que ocupe zonas de memoria contiguas que pueden estar usadas por otra cosa o pertenecer a otro proceso, como uno del sistema. Por lo tanto, estaríamos accediendo a memoria que no debemos y podríamos aprovechar esta circunstancia para ejecutar código arbitrario (es decir, un código que no debería estar ahí y que viene acompañando a los datos que han provocado el desbordamiento). Un código que nos permita saltar seguridad y conseguir acceso remoto al dispositivo, por ejemplo, que es el fallo que hemos comentado de FaceTime.
Para evitar que cualquier persona pueda querer recrear este error y aprovecharse del mismo, normalmente este tipo de boletines son confidenciales y solo la empresa afectada y la persona que ha descubierto el error son conocedoras de los detalles del mismo. En el boletín se publica solo la descripción general y un pequeño atisbo que da a entender cómo se ha sido corregido. Por ejemplo, en el citado fallo de FaceTime, Apple ha incorporado un control del uso de la memoria para que si viene un dato más grande de lo esperado, lo trunque y así nunca se pase de la zona que tiene reservada.
Apple ha editado un documento al respecto de los errores que corrige explicando cada uno, fallos que incluyen componentes como la librería CoreAnimation que permite hacer las animaciones en las interfaces del sistema, de uso del Bluetooth, de la librería Core Media que permite reproducir contenidos multimedia, el teclado, el lector de páginas de Safari, la librería de procesamiento del lenguaje natural o el motor WebKit que da servicio al navegador Safari, entre otros.
Actualizar, la forma de estar seguro
Por lo tanto, si nos da pereza pensar si debemos o no actualizar, aquí tenemos un buen motivo para no darle vueltas. Es cierto que muchas de estas vulnerabilidades son difíciles de explotar y que aun quedarán muchas otras por parchear que no se han descubierto, pero cuanto más seguros estemos mejor.
Como nota aparte, este es uno de los principales problemas que intenta resolver Google con los fabricantes que usan su sistema operativo Android. Como habéis visto, Google se toma muy en serio la seguridad y el trabajo que está realizando en este campo con Project Zero es de un valor incalculable. Ellos fueron quienes detectaron los fallos en los procesadores Intel y el resto de fabricantes (Spectre y Meltdown) que saltaron a la luz hace un año. Pero por desgracia, la propia compañía no consigue un compromiso claro de los fabricantes de publicación de boletines de seguridad para Android que garantice la seguridad de sus usuarios y eso es un problema muy serio a todos los niveles.
Cuanto más tiempo pase sin actualizar nuestro dispositivos, más desprotegidos estamos a fallos que se hayan descubierto, y si cualquier persona explota cualquiera de estos errores, puede provocar un problema de control remoto, robo de datos, etc... como suele decirse, más vale prevenir que curar.
Ver 20 comentarios