La app de LinkedIn para iOS permite la ejecución remota de código

Escrito por Adrián Crespo
Seguridad
0

El experto en seguridad Zouheir Abdallah ha sido el encargado de descubrir un problema de seguridad en la aplicación de la red social LinkedIn para iOS. En el fallo de seguridad descubierto, una tercera persona podría llevar a cabo la ejecución de código malicioso, permitiendo a este el robo de los credenciales del usuario y lleva a cabo adquisición de permisos de administrador en el terminal.

Según ha detallado el investigador, el problema aparece cuando un usuario envía a otro un mensaje cuyo contenido, además de texto, posee un código HTML no válido. Este código tratará de ser traducido e interpretado por la aplicación de la red social sin éxito, pero si provocará una vía gracias a la cual un usuario de forma remota puede realizar operaciones sobre el dispositivo iOS del usuario afectado.

Las consecuencias de este problema de seguridad podrían resumirse en dos palabras: acceso total. El atacante tendría control total sobre la aplicación del usuario, pudiendo utilizar para llevar a cabo el robo de credenciales del usuario haciéndole creer que debe introducir los datos de acceso par visualizar de forma correcta el mensaje, o bien, y en este caso resultaría más grave, gracias a la aplicación poder ganar acceso de administrador sobre el dispositivo móvil del usuario y lograr el acceso a archivos.

Los otros dispositivos también afectados

Hemos mencionado a iOS porque solo se ha realizado la prueba con un dispositivo de la compañía de la manzana. Sin embargo, Abdallah cree que si en iOS sucede esto, tanto en Android como en Blackberry también es muy probable que se repita el problema. El investigador añade que en el caso de Android podría resultar doblemente peligroso, porque un terminal rooteado supondría cero esfuerzo para el atacante.

Solución inminente del problema

Según fuentes de la red social, los responsables de la seguridad de las aplicaciones se han puesto manos a la obra para solucionar el problema y todo parece indicar que antes de final de semana o comienzos de la siguiente, los usuarios de iOS dispondrán de una actualización que solucione este problema de seguridad. También se ha podido saber que los usuarios de Android y Blackberry van a recibir una actualización por lo que se confirmaría la suposición del investigador en la que mantenía que si iOS estaba afectado era probable que Android y Blackberry lo estuvieran.

Fuente | The Hacker News