Poco antes de la presentación del iPhone 13, Apple ha lanzado una actualización de emergencia para iOS y macOS que soluciona un gran bug.
Las nuevas versiones son iOS 14.8, iPadOS 14.8, watchOS 7.6.2 y macOS Big Sur 11.6. Apple recomienda a todos los usuarios actualizar sus dispositivos lo antes posible, hasta obtener esas versiones. Podemos hacerlo accediendo a la Configuración de nuestro iPhone, en "General"; en macOS, encontramos la misma opción en las "Preferencias del Sistema". Aunque son actualizaciones pequeñas, son muy importantes.
Se trata de un lanzamiento sorprendente, teniendo en cuenta que se espera que el iPhone 13 venga con la nueva versión del sistema, iOS 15, que ya está parcheada contra estos bugs. Que Apple no haya podido esperar a un momento tan importante dice mucho de la gravedad de la situación.
Las nuevas versiones solucionan dos problemas concretos; uno está relacionado con WebKit, el motor usado por el navegador Safari presente en todos los dispositivos de Apple, y el otro con CoreGraphics, la librería encargada de renderizar imágenes en la pantalla. En los dos casos, Apple ha confirmado que los bugs están siendo aprovechados por hackers, pero el segundo parece ser el más preocupante.
Según ha revelado The Washington Post y una investigación de CitizenLab, el segundo bug lleva siendo usado al menos desde el pasado mes de febrero por la empresa de ciberseguridad israelí NSO Group, creadora del malware Pegasus; en julio se reveló que esta herramienta había sido usada para espiar a periodistas y activistas en todo el mundo. Aunque NSO Group intentó evitar asociarse con estos ataques, en los últimos meses ha prometido luchar contra el abuso de sus herramientas, vendidas a gobiernos para espiar a supuestos terroristas y criminales.
Los ataques que se pueden conseguir gracias a estas vulnerabilidades son especialmente peligrosos, porque permiten entrar en el sistema sin necesidad de que el usuario haga nada (por eso se llaman "Zero-Click"). En concreto, la vulnerabilidad de CoreGraphics se basaba en el envío de mensajes a través de la app iMessages ("Mensajes" en España) con gifs animados maliciosos, que, una vez cargados, permitían obtener el acceso con lo que se conoce como un "desbordamiento de memoria".
