Han pasado cuatro años desde que la compañía parchó un dispositivo al final de su vida útil contra una vulnerabilidad importante. Apple rompe la política de actualizaciones para asegurar los iPhones y iPads más antiguos contra el Zero-day.
Apple ha hecho una rara excepción a su política de no aplicar parches a los dispositivos más antiguos. Los últimos, son los compatibles oficialmente al lanzar actualizaciones de seguridad para el iPhone 5s y más nuevos después de los «graves» días cero descubiertos en agosto.
Las vulnerabilidades de día cero que afectan a iOS, iPadOS y macOS Monterrey esencialmente otorgaron «superpoderes administrativos» a los piratas informáticos. Esto es según los investigadores de seguridad.
Las dos vulnerabilidades «críticas» podrían encadenarse para obtener el control de un dispositivo completo con privilegios de kernel, dijo Apple en ese momento. Significaba que los atacantes que administraban una página web creada con fines malintencionados podían explotar un dispositivo Apple. Podrían asumir el control de funciones como la cámara y el micrófono, y llevar a cabo otras actividades, como espiar aplicaciones y acceder a casi todos los datos almacenados en el dispositivo.
Apple rompe la política de actualizaciones para asegurar los iPhones y iPads más antiguos contra el Zero-day
Apple rara vez rompe su propia política de no aplicar parches de seguridad a dispositivos no compatibles. Apple actualmente es compatible con iPhones tan antiguos como el iPhone 6. Sin embargo, las actualizaciones de las que hablamos incluyen correcciones para dispositivos como el iPhone 5s, iPad Air, iPad Mini 2 y el iPod touch (6.ª generación).
La última vez que emitió una solución así para una vulnerabilidad importante fue en 2018. En ese momento actualizó los Mac más antiguos para protegerlas contra la infame vulnerabilidad Meldtown. Esta afectaba a la mayoría de los chips Intel en uso en el momento del descubrimiento.
El descubrimiento de Meltdown fue significativo. Intel fue el fabricante de chips dominante, durante algún tiempo, en el mercado de PC y Mac y se descubrió que la vulnerabilidad afectaba a casi todos los chips Intel de los 20 años anteriores.
Es común que las empresas de tecnología decidan cuándo un dispositivo llega al «fin de su vida útil», el punto en el que ya no recibirá actualizaciones de seguridad. Puede facilitar la creación y gestión de correcciones de seguridad, pero las empresas han recibido críticas sobre la práctica. Algunos lo han visto como una forma de obligar a los usuarios a pagar por hardware más nuevo antes de lo necesario.
Apple, sin embargo, es conocida por ser una de las empresas que ofrece la mayor cantidad de actualizaciones de hardware antiguo con la política actual que se extiende a los dispositivos iPhone 6. Recordemos que estos se lanzaron en septiembre de 2014: hace 8 años.
Otros fabricantes en el ecosistema de Android ofrecen comparativamente menos actualizaciones para sus dispositivos. El promedio generalmente percibido es que los dispositivos con sistema operativo Android recibirán tres años de actualizaciones de seguridad.
Los zero-days de Apple
Apple solucionó dos vulnerabilidades de día cero, que pueden haber sido explotadas activamente en la naturaleza, a principios de agosto. El primero de ellos, rastreado como CVE-20220-32893, fue una falla de ejecución remota de código (RCE) en WebKit, el motor de navegación propietario de Apple.
La vulnerabilidad se podía explotar en cualquier navegador habilitado para WebKit, como Safari y todos los navegadores integrados en la aplicación en iOS y iPadOS. Significaba que casi todos los dispositivos podrían ser explotados dada la prevalencia del uso del navegador en la aplicación.
La segunda, rastreada como CVE-2022-32894, fue un error que requería que el atacante obtuviera un punto de apoyo inicial en el dispositivo de destino para explotarlo. La mencionada vulnerabilidad de WebKit habría otorgado los privilegios necesarios para explotar la segunda.
Fue un error de ejecución de código a nivel de kernel y ambos atrajeron la atención de los medios de comunicación de todo el mundo dada la gravedad de los posibles resultados.