Ayer por la tarde, tras su conferencia y presentar sus nuevos ordenadores y dispositivos, Apple lanzaba una nueva actualización de su sistema operativo, el nuevo iOS 12.1. Esta nueva versión del sistema operativo de los iPhone y iPad llegaba a los usuarios con una gran cantidad de novedades y mejoras, aunque también ha llegado con un gran número de correcciones de vulnerabilidades para hacer que los usuarios puedan utilizar sus dispositivos de la forma más segura posible.

La mayoría de las vulnerabilidades que se han corregido con esta nueva actualización se encontraban en FaceTime, la aplicación de videollamadas de Apple. Esta aplicación escondía varios fallos de seguridad que podían permitir a atacantes ejecutar código en los dispositivos mediante un vídeo modificado o iniciar una llamada de forma concreta o acceder a datos de la memoria de los dispositivos. Otras aplicaciones de mensajería, como iMessage o VoiceOver también estaban afectadas por diferentes vulnerabilidades.

Otro fallo de seguridad corregido en la app de Contactos de iOS podía permitir a un atacante generar un DoS en el sistema utilizando un fichero vcf creado para este fin.

Safari, el navegador de Apple, así como WebKit (el motor web de Apple), también han estado afectados por varias vulnerabilidades de todo tipo, vulnerabilidades que ya han sido solucionadas.

El Kernel de iOS también ha recibido una importante ración de parches para corregir algunos fallos de seguridad y hacerlo aún más seguro. Varios drivers, como el de los gráficos, también reciben parches de seguridad. También se detectaron varios fallos en componentes y herramientas relacionadas con el cifrado, como CoreCrypto, IPSec o en los mensajes S/MIME.

Además de iOS, los demás sistemas operativos de Apple, como watchOS, tvOS y, sobre todo, macOS, también han recibido parches y correcciones de seguridad, por lo que debemos actualizar estos dispositivos cuanto antes para estar completamente protegidos de estas vulnerabilidades.

Una nueva vulnerabilidad aparece horas después de la llegada de iOS 12.1

Al poco de llegar iOS 12.1 a los usuarios, un usuario hacía público en la red un nuevo fallo de seguridad en la pantalla de bloqueo de iOS que fácilmente podía permitir a cualquier usuario acceder a información privada del usuario con el iPhone bloqueado.

Como se puede ver en el siguiente vídeo, una vez más el fallo se encuentra en FaceTime, pero esta vez no requiere de VoideCover ni Siri para poder explotarla, basta con recibir una llamada en nuestro dispositivo para poder abrir FaceTime y acceder, como se muestra, a todos los datos.

Este fallo se debe a que Apple eliminó la solicitud de código cuando se intenta acceder a los datos de los usuarios a través de FaceTime aunque el dispositivo esté bloqueado, un grave fallo que puede salirle caro a más de uno.

Por el momento Apple no ha hecho declaraciones sobre este fallo de seguridad, por lo que no sabemos si tiene intenciones de corregirlo pronto o esperará a la próxima actualización de su sistema operativo, iOS 12.2, para tapar este problema de seguridad. De momento lo único que podemos hacer es tener cuidado con quién tiene acceso a nuestro teléfono, ya que fácilmente podría conseguir más información de la que seguramente deseemos.

¿Qué opinas de esta vulnerabilidad en iOS 12.1? ¿Has instalado ya esta nueva versión?