iOS 18 introduce muchas correcciones importantes de seguridad.
Apple lanzó sus últimos sistemas operativos, iOS 18 e iPadOS 18, finalmente disponibles para el público en general. Si bien las actualizaciones en sí mismas presentan una variedad de nuevas características, también contienen muchas correcciones importantes de seguridad.
Al igual que con cada actualización principal de iOS, iOS 18 soluciona problemas de seguridad centrales relacionados con diferentes características y aspectos del sistema operativo. Muchas de las correcciones introducidas el lunes evitan que los atacantes, las aplicaciones y los usuarios no autorizados accedan a información sensible del usuario, como detalles de contacto o fotos.
iOS 18 introduce diferentes correcciones de seguridad relacionadas con la accesibilidad. Estas vulnerabilidades relacionadas con la accesibilidad que ahora están parcheadas permitían a los atacantes con acceso físico a dispositivos bloqueados acceder a datos sensibles de los usuarios.
Una de las vulnerabilidades de accesibilidad mencionadas permitía a los atacantes usar Siri como medio para recopilar datos sensibles, mientras que otra permitía a los atacantes controlar dispositivos cercanos a través de las funciones de accesibilidad. Ambos problemas de seguridad fueron solucionados por Apple mediante “mejoras en la gestión del estado”.
Un problema de seguridad adicional hacía posible que los atacantes usaran Accesso Auxiliar para ver fotos recientes sin autenticación. Apple resolvió esta vulnerabilidad de accesibilidad con iOS 18 restringiendo las opciones ofrecidas en un dispositivo bloqueado.
Las correcciones de seguridad en iOS 18 que mantienen seguros tus datos
Control Center recibió una corrección para un problema de seguridad que permitía a las aplicaciones grabar la pantalla sin mostrar el indicador adecuado en la barra de estado, lo que significa que los usuarios pueden no haber sido conscientes de que su pantalla estaba siendo grabada. Apple solucionó este problema de seguridad mediante “verificaciones mejoradas”.
FileProvider y Game Center tenían problemas de seguridad que permitían a las aplicaciones acceder a datos sensibles de los usuarios. Apple abordó el problema de FileProvider en iOS 18 empleando una validación mejorada de enlaces simbólicos y solucionó el problema de acceso a archivos de Game Center con una validación mejorada.
Una cuestión de privacidad dentro de la aplicación Mail, descubierta por Rodolphe Brunetti, significaba que las aplicaciones podían acceder a la información de contacto del usuario. Apple abordó este problema con “mejora en la eliminación de datos privados para entradas de registro”.
Un problema de Sandbox, descubierto por Csaba Fitzl de Offensive Security, permitía a las aplicaciones filtrar información sensible del usuario. iOS 18 soluciona este problema con el uso de una protección de datos mejorada. De manera similar, un problema de permisos de Transparencia permitía a las aplicaciones acceder a datos sensibles del usuario. Apple abordó este problema con restricciones adicionales.
Las características de seguridad de iOS 18 previenen los ataques de denegación de servicio
Algunas de las vulnerabilidades ahora parcheadas permitían a los actores malintencionados realizar ataques de denegación de servicio o DoS.
Un problema con mDNSresponder significaba que las aplicaciones podían causar una denegación de servicio, mientras que los problemas de ImageIO y ModelI/O significaban que procesar una imagen podía causar una denegación de servicio. Los atacantes remotos también podían causar una denegación de servicio a través de un problema de seguridad en la red celular previamente no parcheado.
iOS 18 resuelve el error lógico de mDNSResponder mediante una mejor gestión de errores, mientras que el problema de la red celular fue abordado con una mejor gestión del estado. La verificación de límites mejorada parcheó el problema de ImageIO, mientras que el problema de seguridad de ModelI/O fue manejado por un tercero, ya que implica software de código abierto.
Safari recibió parches para dos vulnerabilidades separadas, descubiertas por Kenneth Chew y Anamika Adhikari, que permitían acceder a las pestañas de Navegación Privada sin autenticación previa. Los dos problemas de seguridad fueron solucionados por Apple en iOS 18 e iPadOS 18 mediante una gestión de estado mejorada.
Dos vulnerabilidades de WebKit relacionadas con contenido web malicioso también fueron parcheadas en iOS 18. Uno de los problemas de seguridad permitía a los sitios web maliciosos extraviar datos entre orígenes, mientras que el otro significaba que el procesamiento de contenido web maliciosamente diseñado podía llevar a scripts universales entre sitios cruzados. Este último se solucionó a través de una “mejora en el seguimiento de los orígenes de seguridad”.
En una nota similar, un problema de seguridad de libxml2 significaba que el procesamiento de contenido web malicioso podía provocar un bloqueo inesperado del proceso. Para este problema, Apple abordó un desbordamiento de enteros mediante una validación de entrada mejorada.
Un problema de seguridad relacionado con WiFi también fue parcheado con iOS 18. El problema de seguridad ahora resuelto permitía a los atacantes forzar a un dispositivo a desconectarse de una red segura. Apple solucionó este problema de integridad con iOS 18 a través de “Protección de Beacon”.
Andrew Lytvynov informó a Apple de un problema lógico relacionado con el kernel, que permitía que el tráfico de red se filtrara fuera de un túnel VPN. Apple solucionó este problema lógico mediante “verificaciones mejoradas”.
De manera similar, un problema de NetworkExtension permitía a las aplicaciones obtener acceso no autorizado a la Red Local de los dispositivos. Al igual que con muchos otros problemas de seguridad de esta lista, Apple solucionó este problema con una mejor gestión del estado.
Siri también recibió dos correcciones de seguridad importantes. Una de ellas aborda una vulnerabilidad que anteriormente daba a las aplicaciones acceso a información sensible del usuario. La otra corrección evita que los atacantes con acceso físico vean los contactos del usuario a través de la pantalla de bloqueo.
Bluetooth y otras correcciones de seguridad de iOS 18
Varios investigadores informaron de un problema de seguridad relacionado con el kernel, que permitía a las aplicaciones acceder de forma no autorizada a la función Bluetooth. Al igual que con las vulnerabilidades mencionadas anteriormente para Safari, el problema se resolvió mediante “mejora en la gestión del estado”.
Otro problema relacionado con Bluetooth permitía a los dispositivos de entrada Bluetooth maliciosos evitar el emparejamiento. La gestión mejorada del estado resuelve este problema en iOS 18.
UIKit recibió una corrección de seguridad, que resuelve una vulnerabilidad que anteriormente permitía a los atacantes provocar la terminación inesperada de una aplicación. Apple resolvió este problema en iOS 18 mediante la utilización de comprobaciones de límites mejoradas.
La lista completa de actualizaciones y correcciones de seguridad para iOS 18 e iPadOS 18 se puede ver en el sitio web de seguridad de Apple. Junto con las correcciones de seguridad ya mencionadas, Apple también abordó varios otros problemas relacionados con IOSurfaceAccelerator, Notas, Impresión, y más.
Es importante mantener siempre actualizado su sistema operativo, ya que las últimas correcciones de seguridad de Apple aseguran que los actores malintencionados tengan mucho más difícil obtener sus datos de usuario privados.