Más de una semana después de que los investigadores de Google dijeron potencialmente miles de iPhones fueron infectados por sitios web corruptos, Apple ha respondido con "los hechos", pero su declaración fue más un ataque a Google que una explicación real.

"El ataque sofisticado se centró estrechamente, no un exploit de amplia base de iPhones 'en masa' como se describe" en la publicación del blog Google Project Zero, dijo la declaración de Apple, publicado hoy (sept. 6). "El ataque afectó a menos de una docena de sitios web".

Sin embargo, la declaración de Apple está llena de agujeros e ignora lo que los investigadores de Google realmente pueden haber revelado: que la seguridad tan admirada de iOS puede ser más un mito que una realidad.

MÁS: Hack masivo de iPhone es una enorme llamada de atención para Apple

El informe de Google "creó la falsa impresión de 'explotación masiva'" y "avivó el temor entre todos los usuarios de iPhone de que sus dispositivos habían sido comprometidos", dijo Apple. "Toda la evidencia indica que estos ataques a sitios web sólo estuvieron operativos durante un breve período, aproximadamente dos meses, no 'dos ​​años' como sugiere Google".

Eso no es exactamente cierto. Las hazañas, 14 en total, formaron parte de cinco campañas de ataque diferentes, cada una correspondiente a diferentes versiones de iOS, que comenzaron a fines de 2016.

Una de las campañas de ataque más recientes, contra iOS 12.0 y 12.1, duró menos de tres meses en el otoño de 2018, pero otras dos duraron seis meses y otros nueve meses.

Cronología de Google Project Zero de los ataques de pozo de agua de iOS.
Cronología de Google Project Zero de los ataques de pozo de agua de iOS. (Crédito de la imagen: Google Project Zero)

Estos fueron los ataques clásicos de "abrevadero", basados ​​en la noción de que ciertos tipos de personas serán visitantes habituales de ciertos sitios web.

En este caso, dijo Apple, el malware se colocó en sitios "que se centran en contenido relacionado con la comunidad uigur" del oeste de China, lo que aparentemente confirma rumores y especulación que surgió tan pronto como Google publicó su informe.

Bueno, esa es solo tu opinión, hombre

Pero sigue siendo un ataque masivo, no dirigido. Cualquier iPhone, ya sea utilizado por un uigur o no, que navegó a los sitios web corruptos podría haberse infectado con éxito. Cualquiera que haya descubierto el implante de malware en el código de esos sitios podría haberlo copiado y utilizado en otro lugar.

"Arreglamos las vulnerabilidades en cuestión en febrero, trabajando extremadamente rápido para resolver el problema solo 10 días después de que nos enteramos", dice el comunicado de Apple. "Cuando Google se acercó a nosotros, ya estábamos en el proceso de corregir los errores explotados".

Apple merece felicitaciones por emitir un parche para el más urgente de los defectos, que afecta a iOS 12.0 y 12.1, con bastante rapidez. Pero, por supuesto, ya había parcheado la mayoría de los errores anteriores explotados durante los dos años anteriores con actualizaciones de iOS anteriores. Los atacantes siguieron encontrando nuevos errores.

Ese es el verdadero problema aquí. Los atacantes, por el bien de la discusión, supongamos que son la inteligencia estatal china, tenían un suministro aparentemente interminable de vulnerabilidades de iOS. Cada vez que Apple golpeaba un lunar, aparecía otro.

No todos los defectos eran desconocidos para Apple. Algunos continuaron siendo utilizados por los atacantes en este caso incluso después de haber sido revelados e incluso parcheados. Ninguno de los programas maliciosos fue lo suficientemente "persistente" para seguir funcionando después de reiniciar un iPhone.

Pero había suficientes vulnerabilidades previamente desconocidas que podrían explotarse para infectar un iPhone que simplemente hizo clic en un enlace (exploits de día cero con un clic, en jerga de seguridad de información) que la seguridad de iOS de repente se ve mucho menos sólido.

Si estos exploits de día cero de iOS fueran tan abundantes y aparentemente tan baratos de obtener que los atacantes los implementaran durante meses en sitios web públicos, ¿qué tan seguro es iOS realmente?

Más barato por docena

No es coincidencia que el martes (sept. 3), Zerodio, un distribuidor líder de exploits de día cero, anunció que pagaría hasta $ 1.5 millones por un exploit superior de Android, pero solo $ 1 millón por el correspondiente iPhone. (Los exploits utilizados en los ataques que Google relató habrían valido $ 500,000).

"El mercado de día cero está tan inundado por exploits de iOS que recientemente comenzamos a rechazar algunos [de] ellos", dijo el CEO de Zerodium, Chaouki Bekrar. Computadora que suena. "Por otro lado, la seguridad de Android mejora con cada nueva versión del sistema operativo gracias a los equipos de seguridad de Google y Samsung".

Fue difícil no ver el anuncio de Zerodium como un truco de relaciones públicas. Exjefe de seguridad de Facebook Alex Stamos bromeó que Zerodium estaba "explotando una vulnerabilidad en los medios de seguridad para insertarse en el ciclo de las noticias".

Pero esa visión contraria ganó más credibilidad cuando El Grugq, un corredor seudónimo de día cero sudafricano, declaró en Twitter que "Android es una plataforma mucho más segura que iOS", siempre que maneje Android correctamente.

"El ecosistema de iOS es un monocultivo, donde la seguridad está ligada al hardware y software más recientes", agregó. "¿Si estás atrasado en cualquiera de los dos? Vulnerable a las cadenas de explotación comercial. Varias cadenas. Android se ha vuelto increíblemente más resistente y, debido a la diversidad, es mucho más difícil de atacar ".

Un tercer revendedor de día cero, Andrea Zapparoli Manzoni, dijo Vice Noticias que "Android es un paisaje tan fragmentado que una 'cadena universal' es casi imposible de encontrar".

Añadió que algunas personas de alto perfil habían cambiado de iOS a Android, lo que hace que un exploit que funciona contra muchos dispositivos Android sea "inmediatamente más valioso".

Palabras de comadreja

Para ser completamente justos, la App Store de iOS sigue siendo mucho más segura que la Play Store plagada de publicidad de Google.

Apple también se merece mucho crédito por asumir la responsabilidad de mantener seguros los iPhones, en lugar de Pasar el dinero al usuario final de la forma en que los fabricantes de teléfonos Android y los proveedores de servicios inalámbricos lo han hecho por años. (Google también jugó ese juego hasta hace un par de años).

Pero es realmente desalentador ver a Apple, la compañía que inventó el teléfono inteligente moderno, usar palabras de comadreja de seguridad en la declaración de hoy. Cuando describe los sitios web infectados como un "ataque sofisticado", implica que nadie podría haberlo detenido.

Cuando dice "nos tomamos muy en serio la seguridad de todos los usuarios", suena como una gran cadena de supermercados que explica cómo los piratas informáticos lograron robar 40 millones de números de tarjetas de crédito.

Cuando dice que "la seguridad es un viaje interminable y nuestros clientes pueden estar seguros de que estamos trabajando para ellos", suena como una empresa que sabe que se ha hecho bien y verdaderamente.

  • Por qué los iPhones de Apple no necesitan software antivirus
  • ¡Sorpresa! Aplicaciones de iOS tan malas como Android en seguridad (informe)
  • Olvídese de los alardes de Google: Android sigue siendo menos seguro que iOS