Google acaba de divulgar una serie de fallos de seguridad que afectaban a todas las plataformas de Apple. Centrados en los componentes de procesado de archivos multimedia, a un atacante le bastaba con enviar una imagen corrupta como vector de ataque. Al ser un ataque zero-click, no requiere interacción por parte del usuario.
Veamos en qué consisten estos bugs ya corregidos por Apple.
El framework ImageIO como talón de Aquiles
Como sabemos, Google cuenta con un equipo centrado únicamente en la búsqueda y análisis de errores de seguridad en plataformas propias y ajenas. Se trata de Project Zero, cuyos descubrimientos se dan a conocer primero al propietario de la plataforma, para que tenga un tiempo prudencial para repararlo. Una vez superado este tiempo o bien cuando es corregido, se divulga al público.
En esta ocasión, Project Zero ha publicado una entrada en su blog donde detalla un proceso llamado "fuzzing ImageIO". Algo así como la distorsión de la API de imagen utilizada por Apple en todas sus plataformas. Por tanto, se trata de una vulnerabilidad que afecta tanto a iOS como iPadOS, macOS, watchOS y tvOS.
Dado su papel protagonista en las plataformas, así como el uso que hacen apps de terceros, es un objetivo muy suculento. En ZDNet tienen un análisis de los bugs donde afirman:
El equipo de Project Zero dijo que han empleado una técnica llamada "fuzzing" [distorsión] para examinar cómo manejaba ImageIO archivos de imágenes malformados. El proceso de …