Simple Truco De Seguridad De Apple: Si Tienes Un iPhone Y Un MacBook, Mira Hacia Otro Lado Ahora
Hace unos días, informé sobre la divulgación por parte de los investigadores de seguridad Talal Haj Bakry y Tommy Mysk de que los portapapeles en iPhones y iPads están abiertos a la explotación por parte de aplicaciones «maliciosas» en esos dispositivos para «robar» cualquier dato copiado en el portapapeles. Apple considera que esta es simplemente la función de copiar y pegar que funciona de manera normal, pero parece abrir una vulnerabilidad de seguridad que puede sorprender a los usuarios.
Aparentemente, el riesgo se extiende más allá de los iPhones y iPads. Los investigadores ahora han regresado, diciéndome: «insinuamos en nuestro artículo que el Portapapeles Universal también puede verse afectado por esta vulnerabilidad para espiar lo que los usuarios copian en sus Mac.»Y eso sería un problema. Porque, si bien el uso de copiar y pegar puede ser relativamente poco frecuente en un dispositivo iOS, es habitual en una Mac.
El riesgo surge porque, como explica Apple, puede usar el Portapapeles Universal » para copiar y pegar entre sus dispositivos Apple: puede copiar contenido como texto, imágenes, fotos y videos en un dispositivo Apple y luego pegar el contenido en otro.»
«Recibimos muchas solicitudes sobre este punto», me dijeron los investigadores el 26 de febrero, » así que agregamos un video que ilustra cómo una aplicación para iPhone o iPad puede escuchar a escondidas en el portapapeles en Mac.»Aquí está el video:
«Enviamos esto a Apple el 2 de enero de 2020», explicaron los investigadores en su blog original. «Después de analizar el envío, Apple nos informó que no ven ningún problema con esta vulnerabilidad.»Me he puesto en contacto con Apple para cualquier comentario adicional.
El riesgo requiere una aplicación en primer plano en el dispositivo iOS. Los investigadores «aumentaron la probabilidad de que la aplicación pueda leer la mesa de trabajo» creando un widget en la vista de hoy, «por lo tanto, expandiendo la ventana de vulnerabilidad.»
El blog en sí se centra en el riesgo de que un actor malicioso cree una aplicación para espiar el portapapeles y luego acceder a los metadatos adjuntos a una foto tomada en el dispositivo. Como explicó Sophos ,» una aplicación maliciosa podría explotarla para averiguar la ubicación de un usuario incluso cuando ese usuario haya bloqueado el uso compartido de la ubicación de la aplicación.»Sin embargo, el riesgo de que los datos copiados en un Mac puedan ser rastreados por una aplicación maliciosa en un dispositivo iOS conectado parece más un problema desde la perspectiva de un exploit.
El consejo de los investigadores a Apple sigue siendo el mismo: elimine el acceso sin restricciones al portapapeles: la configuración de privacidad en las últimas versiones de iOS podría incluir una configuración para otorgar acceso al portapapeles por aplicación. O, como alternativa, restringir el acceso al portapapeles a «cuando el usuario realiza activamente una operación de pegado.»
Como dije en mi informe original, esto es solo un agujero de seguridad potencial sin reclamar que haya sido explotado en la naturaleza. «pero, con grupos de amenazas patrocinados por el estado y redes criminales organizadas atacando sistemas operativos como una cuestión de rutina, cualquier falla potencial proporciona un punto de partida para una hazaña.»Mi apuesta sigue siendo que Apple abordará esto en una versión futura y parcheará este agujero.
Sígueme en Twitter o LinkedIn.