ZipperDown: esta vulnerabilidad pone en jaque la seguridad de iOS y afecta al 10% de todas las apps de la App Store

Escrito por Rubén Velasco

Tanto los principales desarrolladores de sistemas operativos, como Apple y Google, como los desarrolladores de las apps para estos sistemas suelen prestar atención a la seguridad de manera que los sistemas y todas sus aplicaciones sean lo más seguras posibles, pudiendo preservar así la seguridad y la privacidad de los usuarios que confían en ellos. Sin embargo, siempre se termina colando algún fallo de programación, generalmente los más comunes, que pueden poner en peligro toda la seguridad del ecosistema, como ha ocurrido con ZipperDown.

Hace algunas horas, el grupo de investigadores Pangu (muy conocidos dentro del mundo del Jailbreak) daba a conocer ZipperDown, una nueva vulnerabilidad que se encuentra presente en el 10% de las apps de iOS publicadas en la App Store. Según estos investigadores, esta vulnerabilidad se debe a un error de programación muy común, y a través de él cualquier app vulnerable se podría conseguir, por ejemplo, sobrescribir información en el dispositivo e incluso ejecutar código de forma remota.

Los investigadores de Pangu han podido encontrar en la App Store de Apple, mediante una serie de análisis automáticos, cerca de 16.000 apps vulnerables a este fallo de seguridad, casi un 10% del total de las apps publicadas en esta tienda, entre las que se encuentran algunas aplicaciones muy populares.

En el siguiente vídeo podemos ver cómo funciona esta vulnerabilidad en cuestión, aunque los investigadores, por seguridad, no han dado aún ningún detalle técnico sobre ZipperDown, estando probablemente en negociación con Apple, o con los desarrolladores de las apps vulnerables, para poder participar en su Bug Bounty, aunque eso no quita que, si se ignora la vulnerabilidad, puedan hacerla pública y utilizarla, por ejemplo, para un nuevo Jailbreak.

Aunque el análisis automático de las apps de la App Store indica que el 10% de todas ellas son vulnerables a ZipperDown, para poder estar seguros los desarrolladores deberán analizarlas una a una de manera que, si la app resulta ser vulnerable, puedan lanzar el correspondiente parche para corregir esta vulnerabilidad. Estos investigadores piden ofrecen ayuda a los desarrolladores de las apps vulnerables para corregir la vulnerabilidad, y también piden que si alguna de las que aparecen en la lista no lo es, que informen igualmente para eliminarla.

ZipperDown también afecta a Android

Los investigadores de Pangu aseguran que esta vulnerabilidad no afecta exclusivamente a iOS (aunque su análisis se ha centrado en este sistema), sino que también afecta a Android, aunque de momento no han facilitado mucha más información sobre cómo afecta al sistema operativo de Google.

De todas formas, a pesar de la gravedad de la vulnerabilidad, explotarla es bastante complicado, por un lado, porque el atacante debe estar en una posición importante de la red para poder interceptar y tomar el control de las conexiones, y por otro lado porque las funciones de sandbox de Android y iOS limitan las consecuencias de este fallo de seguridad.

¿Qué opinas de ZipperDown?

Fuente > bleepingcomputer