Apple sale al paso de la preocupación por Masque

En Estados Unidos las cosas en relación a la vulnerabilidad Masque de iOS han llegado al punto de que el gobierno ha lanzado un boletín de seguridad para toda la ciudadanía, y Apple no ha tenido más remedio que salir al paso de lo que ya está cogiendo tintes de alarma social.

La empresa de Cupertino no ha hecho más que apuntar lo que ya dijimos en su momento: Que no hay que descargar nada que no proceda de la App Store, que no tiene constancia de que ningún usuario haya sido afectado, y que iOS es lo suficientemente seguro. Pero no reconoce su responsabilidad.

De toda esta historia hay dos cosas que tengo muy claras: La primera, que al final son las acciones del usuario son las que pueden infectar su dispositivo. Y la segunda, que el hecho de que Apple tenga razón no elimina el problema.

No hay más que recordar que Masque se basa en un correo electrónico con un enlace que lleva al repositorio el malware, no a la App Store. Y que es el cotejo de los certificados lo que abre paso a la infección. Luego, un usuario podría instalar una aplicación que parece original pero que no lo es, la cual mandaría los datos introducidos por el usuario, al atacante.

Los mecanismos de seguridad de iOS siempre llevan a la App Store y nunca se pide que se descargue nada desde otra vía que no sea esta, y de hecho, un enlace correctamente construido que llegue por correo electrónico solamente puede llevar a la App Store. Y si, la voz de alarma debe saltar al usuario si éste comprueba que su dispositivo conecta con cualquier sitio menos la App Store. Sin embargo, la comparación de certificados sigue siendo cosa de Apple y no debería quitar importancia a un problema cuya solución está en sus manos. 

Veremos como evoluciona esta historia, no sin antes recordar que la versión preliminar de iOS con la que están trabajado ahora mismo los desarrolladores y que derivará en la siguiente actualización de iOS, está afectada de esta vulnerabilidad.

Vía | 9to5Mac

iOS Seguridad #Masque #Masque Attack