Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Google desvela el funcionamiento de una campaña de malware en iOS

Fecha de publicación: 29/08/2019

A principios de 2019, el Grupo de Análisis de Amenazas (TAG) de Google notificó a Apple 14 vulnerabilidades que afectaban a dispositivos iPhone, desde las versiones 10 hasta la 12 de iOS. Estas vulnerabilidades fueron parcheadas en la actualización fuera de ciclo 12.1.4 de iOS el 7 de febrero de 2019.

Para infectarse bastaba con visitar algún sitio web comprometido, y desde el servidor web, se infectaba el dispositivo móvil e instalaba una herramienta de monitorización.

Tras analizarlo, Google ha publicado una serie de artículos explicando la magnitud y el funcionamiento de las 5 cadenas de exploits empleadas en esta campaña de malware. Estas afectaban a diferentes herramientas de software del sistema, habiendo 7 vulnerabilidades que afectaban al navegador de iPhone, cinco que afectaban al kernel y dos permitían omitir el sandbox. Siendo dos estas vulnerabilidades del tipo 0-day (CVE-2019-7287 y CVE-2019-7286).

Etiquetas: 0day, Apple, Google, Malware, Vulnerabilidad

Referencias:

ReferenciaMedioURLFechaExternoIdioma destinoIdioma contenido
A very deep dive into iOS Exploit chains found in the wildgoogleprojectzero.blogspot.comhttps://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html29/08/2019sienen
Acerca del contenido de seguridad de iOS 12.1.4support.apple.comhttps://support.apple.com/es-es/HT20952007/02/2019sieses
iPhone Hackers Caught By Google Also Targeted Android And Microsoft Windows, Say Sourcesforbes.comhttps://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/01/09/2019sienen
iPhone Zero Days: un nuevo spyware de altas capacidades puede monitorizar toda la vida digital de las personasunaaldia.hispasec.comhttps://unaaldia.hispasec.com/2019/08/iphone-zero-days-un-nuevo-spyware-de-altas-capacidades-puede-monitorizar-toda-la-vida-digital-de-las-personas.html31/08/2019sieses