Si eres propietario de un teléfono de Apple y aún no has actualizado el sistema operativo debes hacerlo cuanto antes. La compañía de Cupertino lanzó anoche una actualización de iOS, la 9.3.5 para solventar la que es hasta el momento la mayor vulnerabilidad descubierta en sus terminales. Esta vulnerabilidad ha salido a la luz tras descubrirse un malware de espionaje llamado Pegasus que trataba de hacerse con el control del iPhone de Ahmed Mansoor, un conocido activista por los derechos humanos de Oriente Medio.
Ahmed Mansoor recibió a principios de este mes un mensaje poco habitual y sospechoso en el que le ofrecían mostrarle imágenes que mostraban torturas en las prisiones Arabia Saudí, con un link para acceder a dicho contenido. Mansoor, en un acto precavido, sospechó de dicho mensaje, salvándose se así del ataque.
El objetivo para el que fue creado el malware era tomar control absoluto sobre el teléfono del activista, pudiendo con ello controlar sus movimientos, activar la cámara y el micrófono e incluso leer los mensajes cifrados de las aplicaciones de mensajería.
Debido al ataque se de este malware se han podido descubrir tres vulnerabilidades de los iPhone que hasta el momento eran totalmente desconocidas. Esos agujeros permiten acceder a la memoria a la memoria del teléfono, conseguir privilegios de administrador pudiendo así instalar cualquier tipo de software e incluso ejecutar código arbitrariamente. Si sumamos todas estas opciones estaríamos hablando de la posibilidad en toda regla de realizarle a los terminales un jailbrek sin necesidad de tenerlo físicamente.
Apple, tras ser avisados de la aparición de este software malicioso y sus consecuentes vulnerabilidades, lanzó de manera casi inmediata un parche que permite proteger los terminales en caso de ataques similares. La actualización no se notifica a los usuarios en forma de globo como las actualizaciones habituales, por lo que los usuarios se están enterando de forma escalonada de la existencia de dicho parche que debe ser instalado tan pronto como sea posible con relativa urgencia.
Desde la compañía de seguridad Citizen Lab se relaciona el ataque con una pequeña compañía israelí especializada en todo tipo de software malicioso, especialmente spyware. La compañía, llamada Grupo NSO descubrió los fallos de los terminales pero no se sabe exactamente cuándo. Aunque, según informan desde Citizen Lab, un buscador de vulnerabilidades llamado Zerodium pagó una recompensa de un millón de dólares por descubrir cómo se podía hackear iOS 9 en remoto, exactamente lo mismo que se pretendía hacer con el malware instalado en el iPhone de Ahmed Mansoor.
Pero esto de pagar recompensas por descubrir vulnerabilidades no es solo cosa de «los malos», la propia compañía de Tim Cook ofrece a todos aquellos que descubran estos defectos de seguridad en el sistema de sus dispositivos cantidades de dinero que alcanzan hasta los 200.000 dólares.