Si tienes un iPhone, iPad o Mac es recomendable que actualices cuanto antes el sistema operativo. Dos nuevas vulenrabildiades de software, catalogadas como CVE-2023-41064 y CVE-2023-41061 pero apodadas "BLASTPASS", amenazan con convertirse en una pesadilla para Apple a pocos días del lanzamiento de sus nuevos teléfonos.
Descubiertas por el Citizen Lab y la Universidad de Toronto, se trata de dos errores en el sistema desconocidos hasta ahora y que permiten hacerse con el control de un dispositivo o instalar un programa espía tan sólo cargando una imagen o archivo adjunto en una página web o un correo, sin que sea necesario que el usuario pulse un botón o un enlace. También aprovechan un error presente en la aplicación de pagos electrónicos de la compañía, instalada en todos los dispositivos por defecto.
Vulnerabilidades de día cero
Ambas se conocen comúnmente como “vulnerabilidades de día cero”, fallos de seguridad desconocidos para el fabricante o desarrollador y que, por lo tanto, no han sido corregidos.
Las vulnerabilidades de día cero son especialmente peligrosas porque los ciberdelincuentes pueden aprovecharlas antes de que se desarrolle un parche o una solución de seguridad. Cuando se descubre una vulnerabilidad de día cero, suele mantenerse en secreto para que el fabricante del software tenga la oportunidad de crear y distribuir un parche antes de que los atacantes la utilicen en ataques.
Un móvil afectado
Este ha sido el caso de BLASTPASS, al poco de hacerse público el problema Apple tenía ya listas las versiones de sus sistemas operativos que lo corrigen, pero es necesario instalar las últimas actualizaciones de iOS 16, iPadOS 16, watchOS 16 y macOS 13 (las versiones actuales de los sistemas operativos) para que no pueda ser aprovechado.
El grupo que ha detectado el fallo asegura que al menos existe un caso en el que se ha utilizado para comprometer el teléfono de una persona. Es el trabajador internacional de una organización internacional con sede en Washington DC al que le instalaron una copia del software espía Pegasus de NSO.