Apple investiga los 'bugs' no críticos de seguridad del iPhone recién publicados la semana pasada
Seguridad y privacidad

Apple investiga los 'bugs' no críticos de seguridad del iPhone recién publicados la semana pasada

La semana pasada, el investigador de seguridad Denis Tokarev publicó en un post en su blog tres vulnerabilidades zero-day de iOS, aunque no son cr´íticas. Ahora, Apple se ha puesto en contacto con el investigador para pedir disculpas por el retraso en las respuestas. Y asegura que sigue trabajando en la forma en que puedan darles solución.

Cuatro errores no críticos, solo uno solucionado

Según ha podido saber Motherboard, Tokarev informó acerca de las cuatro vulnerabilidades a Apple entre el 10 de marzo y 29 de abril de este año. Mientras que una de ellas fue resuelta con iOS 14.7, las otras tres siguen activas en iOS 15. O, al menos, Apple no ha informado acerca de su resolución en ningún documento de seguridad.

Hemos visto tu post acerca de este problema y el resto de tus informes. Nos disculpamos por el retraso en responderte. Queremos que sepas que seguimos investigando estos problemas y cómo solucionarlos para proteger a nuestros clientes. Te agradecemos el tiempo que te has tomado en informar de estos problemas, apreciamos tu asistencia. Por favor, haznos saber si tienes alguna pregunta adicional.

Esta ha sido la respuesta de un empleado de Apple al investigador, en un email confirmado por la publicación. Los tres errores no son críticos, puesto que es necesario que una app maliciosa supere todos los controles de la App Store para poder aprovecharlos. Adicionalmente, esta app debería ser descargada en un iPhone para poder ejecutarlos.

Los errores son graves, aunque su explotación activa por una app que supere todos los controles de la App Store resulta muy complicada

Existen, por tanto, varias barreras para que estos errores zero-day sean aprovechables y que su explotación no sea práctica. Es posible que esa sea la razón por la que Apple no ha dado prioridad a su resolución. De lo que no queda duda es de la falta de comunicación con Tokarev. Tras comunicar de forma privada los errores a la compañía, ha procedido a darlos a conocer tras los más de 90 días de cortesía que se emplea en el sector (provenientes del grupo de seguridad de Google, Project Zero).

Críticas al sistema de reportes y recompensas de bugs de Apple

iPhone caja

Apple lleva más de cinco años con su programa de recompensas para agujeros de seguridad. Con diferentes premios según la categoría y gravedad del error, el sistema ha premiado a varios investigadores hasta la fecha. Aunque también ha recibido sus críticas.

Hace unos años, saltó al ciclo de noticias un fallo en las llamadas grupales de FaceTime. Cuando el padre del niño de 14 que lo encontró intentó reportarlo a Apple de forma privada, fue ignorado. No fue hasta que la historia llegó a la prensa que la compañía reaccionó.

Cada cierto tiempo surgen historias de este tipo. Pero también es cierto que en las notas de seguridad de las versiones de iOS, iPadOS o macOS nos topamos con cada vez más nombres de personas que resuelven estas vulnerabilidades. El proceso de informar a Apple de estos errores no es perfecto. Pero estamos también en un área en constante movimiento.

Hay quienes afirman que las recompensas no son suficientes, haciendo que algunos hackers prefieran venderlos al mejor postor. Aunque subirlas no haría más que iniciar una guerra de pujas.

Temas
Inicio