Siempre que se lanza una nueva actualización es bueno instalarla. Puede que con las actualizaciones importantes como iOS 15, podamos esperar un poco, pero las intermedias siempre es bueno hacerlo casi de inmediato. Suelen contener correcciones de errores y en este caso iOS 15.0.2 contiene la corrección de una vulnerabilidad tipo Zero Days. Así que no lo pienses mucho mas y descarga esta versión.
iOS 15.0.2 soluciona por fin una vulnerabilidad Zero encontrada hace semanas
El mes pasado, el investigador de seguridad Denis Tokarev, también conocido como illusionofchaos, informé sobre su su experiencia a la hora de informar a Apple sobre tres vulnerabilidades en iOS tipo Zero Days. El investigador ha sido muy crítico con la compañía americana por el excesivo tiempo que ha tardado en contestar y dar una solución. Así como en la forma en como lo ha resuelto.
However, they haven't replied to my second email continuing to ignore my questions about analyticsd vulnerability which I asked exactly a month ago. pic.twitter.com/sFUhMzvAAU
— Denis Tokarev (@illusionofcha0s) October 13, 2021
Parece ser que la compañía no sólo ha tardado mucho tiempo en solucionar el problema, si no que a la hora de hacerlo no ha dado el rédito que corresponde a Tokarev. Algo que no ha sentado muy bien al investigador.
La vulnerabilidad descubierta, que por cierto no es la única, permitiría que cualquier aplicación instalada desde la App Store obtuviera acceso a los datos personales del usuario. El correo electrónico y el nombre completo de la ID de Apple, el token de autenticación de la ID de Apple. Acceso de lectura completo del sistema de archivos a la base de datos Core Duet y bastante más.
El mes pasado, el investigador hizo público sus descubrimientos después de que hayan pasado 6 meses desde que se lo comunicó a Apple y no hubiera respuesta por parte de ésta hacia Tokarev. Por lo que, en posteriores comunicaciones advirtió a la empresa que si seguía sin recibir respuesta por su parte, haría público lo descubierto.
Una vez que ha hecho efectiva su advertencia, parece que Apple lo ha solucionado en iOS 15.0.2 pero no ha incluido en los agradecimientos al investigador. Apple se ha escudado en que “debido a un problema de procesamiento, su crédito se incluirá en los avisos de seguridad en una próxima actualización. Pedimos disculpas por las molestias”.
Esto no le ha sentado demasiado bien, como es lógico, por lo que diversos medios especializados se han hecho eco de esta historia.
Al César lo que es del César. No hay nada que temer ni nada que ocultar. Tendríamos que dar gracias todos los días a la existencia de personas como Tokarev. De manera altruista ayudan a que las comunicaciones y dispositivos sean más seguros.