Durante el Pwn2Own de este año, dos investigadores en materia de seguridad holandeses han conseguido acceder a los datos privados de un usuario y que se encontraban guardados en un iPhone 4S. Por lo que se pudo ver, un sitio web manipulado e infectado con código malicioso es más que suficiente para que se puedan enviar fotos, videos, música, libreta de contactos o historial de navegación a un servidor manejado por terceras personas para recopilar información.
A pesar de que la demostración se llevó a cabo con un iPhone 4S, se cree que otros dispositivos también puedan estar afectados ya que el fallo no reside en el dispositivo, sino en la versión del sistema operativo, más concretamente el fallo de seguridad se encuentra en el navegador Safari que posee esta versión del sistema operativo.
Se cree que todas las versiones de iOS 5 puedan estar afectadas por esta vulnerabilidad.
Aunque no e han dado muchos detalles, y menos por parte de la compañía, también podría ser posible que el fallo, que como indicábamos con anterioridad reside en el navegador Safari, pudiese ser corregido si se recibiese una actualización del navegador de estos dispositivos. También cabe la posibilidad de que con la llegada de la nueva versión de iOS, la sexta, esta fallo desaparezca y sea solucionado.
Pero, ¿y si tampoco ha sido corregido en iOS 6?
Problemas en el motor de búsqueda usado por Safari
El fallo se extiende únicamente a la versiones para móvil del navegador, y afecta al módulo de búsquedas que el navegador tiene integrado. Parece ser que si se navega por sitios web comprometidos, estos pueden tener acceso a instalar código malicioso en el dispositivo llevando a cabo posteriormente una comunicación remota con un servidor para el envío de los datos recopilados.
Esta vulnerabilidad que existe en iOS 5, no ha sido corregida por Apple en iOS 6. Sin embargo, al tratarse de un descubirmiento dentro de un concurso, los usuarios de iOS no tienen motivos por lo que preocuparse, por lo menos de momento, ya que este proyecto será reportado a Apple y es probable que en una nueva actualización será corregido. Eliminar datos almacenados solo de una página es posible.
Fuente | The H Security