iOS 15 incluye corrección de Face ID para el bypass de seguridad de Fake Heads – Naked Security
El iOS 15 de Apple ya está disponible, la última versión de software para iPhones, justo a tiempo para el lanzamiento oficial del nuevo iPhone 13 más adelante en la semana.
(Sí, puede comprar un iPhone 13 hoy, pero solo colocando lo que la jerga moderna de ventas y marketing llama hacer un pedidoeso simplemente como un. es conocida asignación En un lenguaje sencillo: pague ahora y recójalo o recíbalo en un futuro cercano cuando esté listo).
Es comprensible que la mayoría de los artículos que leerá sobre iOS 15 se centren en las nuevas funciones del sistema operativo y las aplicaciones integradas, como: B. Mejoras en notificaciones, mensajes, Safari e incluso en cómo se muestra el clima local.
Sin embargo, lo que quizás no sepa es que, si bien es nuevo para la mayor parte del mundo, iOS 15 se ha horneado en el horno durante muchos meses en su versión preliminar …
… lo que significa que la primera publicación oficial todavía contiene su propia recomendación de seguridad, en la que se enumeran 22 vulnerabilidades parcheadas, incluidos diez errores que podrían conducir a la llamada ejecución remota de código (RCE).
Las vulnerabilidades de RCE significan que, en teoría, simplemente ver, abrir o usar un archivo con trampa explosiva podría permitir que un atacante lance sigilosamente malware como software espía en su dispositivo.
Dos de las fallas en la ejecución del código podrían incluso dar a los delincuentes el acceso que necesitan para implantar código fraudulento en el propio kernel, con control general.
Aquí te miras a ti mismo
Pero la alerta de seguridad de iOS que más nos llamó la atención fue CVE-2021-30863, que corrige un error en Face ID que se describe de manera emocionante de la siguiente manera:
Cabezas equivocadas! (Palabra clave música distópica de cine de ciencia ficción).
Los ataques de elusión de Face ID ya han sido anunciados, en particular por un investigador vietnamita que afirmó poder pasar de Face ID con una máscara en 2017 y por investigadores chinos de la compañía de ciberseguridad Tencent que pudieron evitar los Face ID en 2019 «¿estás despierto? ? » Detecta y desbloquea el dispositivo de alguien que ha estado durmiendo.
Ninguno de estos ataques fue muy útil, en todo caso, habrían funcionado en la vida real.
Hasta donde sabemos, el resultado vietnamita nunca se ha replicado con éxito, y los investigadores de Tencent se basaron en el improbable escenario de que la víctima estaba «mirando» a la cámara sin darse cuenta de que usaba anteojos (anteojos) que estaban adrede con cinta negra. y un punto reflectante para que no pudieran ver el teléfono en absoluto.
Desafortunadamente, no hay detalles sobre cómo se llevó a cabo este nuevo truco de Face ID, por lo que no sabemos qué tan efectivo y confiable fue.
Quizás lo más importante es que no podemos estimar qué tan probable es que la tecnología pueda modificarse para omitir la última actualización de seguridad de Apple, que solo dice que «Este problema se solucionó mejorando los modelos anti-spoofing de Face ID».
Múltiples actualizaciones para múltiples plataformas
Junto con actualizaciones para lo que de otro modo sería nuevo iOS 15, iPadOS 15, tvOS 15 y watchOS 8 (por alguna razón, los números de versión de watchOS no coincidían con el resto de la oferta móvil de Apple), los últimos anuncios de seguridad también incluyen iTunes, Mac OS, safari y manzanas Xcode También herramientas para desarrolladores iOS 14.8 y iPadOS 14.8.
Confusamente, las actualizaciones para iOS 14.8 y iPadOS 14.8 se lanzaron en realidad hace más de una semana, aparentemente como parches de emergencia para tapar un agujero que supuestamente se está explotando en la naturaleza para la vigilancia gubernamental de un activista.
El parche iOS 14.8 se hizo ampliamente conocido como la actualización FORCEDENTRY.
(La actualización 14.8 en realidad corrigió dos vulnerabilidades de seguridad en estado salvaje, pero el más conocido de los dos fue el que supuestamente se encontró en el teléfono del activista llamado FORCEDENTRY de la organización que investigó el ataque y lo denunció a Apple).
Sin embargo, resulta que la actualización de iOS 14.8 también solucionó una serie de otras vulnerabilidades de seguridad, incluidas muchas que también se solucionaron en iOS 15.
Sospechamos que estos son errores que iOS 15 heredó de su predecesor.
También hay una actualización llamada Safari 15 disponible para macOS 10.15 (Catalina) y 11.6 (Big Sur).
Esto se suma a las actualizaciones de seguridad de Big Sur y Catalina publicadas la semana pasada para parchear eso FORCEDENTRY Agujero.
Aunque no hay parches nuevos específicamente para macOS, asumimos que la actualización de Safari 15 alineará la versión macOS del navegador Safari con su contraparte móvil en iOS y iPadOS.
Los avisos de seguridad de los que hemos recibido notificaciones son los siguientes:
Una vez más, el pobre iOS 12 es víctima de la doctrina de Apple que prohíbe que la empresa te diga lo que está pasando desde el punto de vista de la seguridad. «Hasta que se lleve a cabo una investigación y haya parches o lanzamientos disponibles».
Desafortunadamente, el hecho de que no se le informe de la situación del parche a menos que y hasta que haya un parche significa que si no hay ningún parche, nunca lo sabrá.
En otras palabras, la conjunción lógica investigate() AND dopatch() significa que «no hay parche disponible» podría ser el resultado de uno de estos escenarios:
No se llevó a cabo ninguna investigación.Un parche puede ser deseable o incluso vital, pero nadie puede saberlo.
Las investigaciones aún están en cursotodavía no estoy seguro de qué más hacer.
Investigación completada,no se necesita parche.
Investigación completada,Se necesita parche, pero aún no está listo.
Investigación completada,El parche no se hará pase lo que pase.
Nuestras sospechas son que iOS 12 finalmente ha llegado al final del asta de la bandera.
Dado que iOS 15 está disponible y iOS 14 todavía es oficialmente compatible (ya que acaba de recibir su propia actualización y recomendación de seguridad), asumimos que iOS 12, ahora la versión anterior, no recibirá más actualizaciones. de la misma manera que Apple solo nombra a Big Sur (actual) y Catalina (antes) para las actualizaciones de macOS.
Así que es catch-22 para iOS 12: si no hay más parches de seguridad, no lo sabremos hasta que haya una advertencia de seguridad; pero no habrá ningún aviso de seguridad hasta que haya otro parche de seguridad.
Nota. Los productos de Sophos Mobile Security ya son compatibles con iOS 15, y, por lo tanto, continúa funcionando sin problemas después de la actualización de iOS 14.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
![[HEADS UP] Millones de correos electrónicos maliciosos pasarán por alto los filtros de seguridad en el cuarto trimestre](https://cultura-digital.info/wp-content/uploads/heads-up-millones-de-correos-electronicos-maliciosos-pasaran-por-alto-los-filtros-de-seguridad-en-el-cuarto-trimestre-150x150.jpg "[HEADS UP] Millones de correos electrónicos maliciosos pasarán por alto los filtros de seguridad en el cuarto trimestre")
![CyberheistNews Vol. 11 # 51 [Heads Up] Los ataques de phishing siguen siendo el tipo más común de violación de seguridad cibernética este año](https://cultura-digital.info/wp-content/uploads/enlace-dirigido-150x150.jpg "CyberheistNews Vol. 11 # 51 [Heads Up] Los ataques de phishing siguen siendo el tipo más común de violación de seguridad cibernética este año")
