Buscar

2010/08/04

Un importante fallo de seguridad en iOS permite el 'jailbreak' en iPhone 4

El Mundo

Un error en el lector de PDF de Safari Mobile es lo que permite hacer jailbreak en todos los dispositivos iOS de una manera fácil y sencilla, simplemente accediendo desde la web jailbreakme.com y moviendo el deslizador. ¿Cómo es posible?
La respuesta está en el camino que han utilizado los 'hackers' para lograrlo. Se trata de un fallo de seguridad del propio Safari Mobile que aparece al ejecutar archivos PDF. Por eso hay que poner atención al grave riesgo expuesto, desde ahora, al abrir este tipo de archivos, incluso sin hacer 'jailbreak'.
Hay una tipografía no integrada que puede utilizarse automáticamente embebida y al aplicarse, como se trata de un producto marca Adobe pero desarrollado por Apple, no pide autentificación, ni comprobaciones, ni medida de seguridad alguna. Por tanto, conocido esa 'carretera' hacia las entrañas de iOS, los programadores pueden ejecutar cualquier cosa, por ejemplo, el 'jailbreak', oculto bajo ese procedimiento.
Hay tener presente que aunque esta técnica sea legal, ahora también en Estados Unidos, Apple retira la garantía a cualquier producto que haya sufrido 'jailbreaking'. Sin embargo con iPhone 4 existe la opción de devolver el teléfono al estado original para que no pueda saberse.
Y no es el único problema que los usuarios pueden enfrentar en esta situación. Como todos los productos no validados por las empresas, pueden incurrir en riesgos o estar asociados a un 'software' dañino o malintencionado. Esa misma vía de entrada puede ser utilizada para la instalación oculta en tu aparato de espías y troyanos.
Por ejemplo, puede ser utilizado para el envío masivo de un PDF que oculte un programa de monitorización. Quien abra el archivo tendrá a alguien capaz de ver en todo momento por dónde navega, lo que escribe o su agenda. Imagine que introduce su número de cuenta: esa persona lo estará viendo en su monitor.
La primera medida y la más drástica sería no volver a abrir un PDF hasta que Apple publique el parche, algo que seguramente llegará muy pronto. Desde AppleWeblog proponen otra solución a través de la tienda paralela Cydia.
Se trata del 'plugin' PDF Loading Warner, que avisa cuando vaya a emplearse una tipografía embebida, y entonces será el propio usuario quien decida por su cuenta y riesgo si confía en el emisor del documento.
Las cartas están sobre la mesa. Apple ha dejado un fallo de seguridad grave que, además, arrastra desde Mac OS X. Los 'hackers buenos' ya lo han empleado para que cualquiera pueda hacer jailbreak y aprovechar aún más sus teléfonos.
Pero los 'malos' tienen el camino despejado para hacer de las suyas.
Mucho cuidado con los PDF.

No hay comentarios: