Apple iPad con fallos de seguridad

Un error, que había sido corregido en la versión para ordenador del navegador Safari, podría permitir a un hacker el acceso remoto al dispositivo en su versión para móvil.

Solo ha transcurrido un día desde que AT&T sacase a la luz el fallo de seguridad que reveló información de los usuarios del iPad, y los hackers de nuevo aseguran en la web del proveedor haber localizado otra vulnerabilidad del dispositivo.

Este mismo lunes el grupo de hackers denominado Goatse Security advirtió en una entrada de blog de la existencia de un fallo de seguridad en el navegador Safari para móvil que podría dar acceso a una tercera persona al iPad en el caso de que el usuario haga clic en un enlace malicioso.

El grupo hacker ha ofrecido detalles de cómo funciona esta vulnerabilidad: los navegadores restringen el acceso a las webs mediante el uso de puertos para evitar ataques informáticos. Sin embargo, el Safari fue incapaz de bloquear algunos puertos no legítimos, con lo que un hacker podría aprovecharlos en combinación con la configuración del propio Safari, que permite la ejecución automática de las solicitudes de software, con el consiguiente riesgo para el dispositivo. Es sorprendente que Apple haya corregido la versión para PC de Safari pero aún no haya publicado un parche para la versión de móvil.

Goatse Security ya había puesto en evidencia los fallos de seguridad de AT&T revelando las direcciones de email proporcionadas por los usuarios del iPad 3G para activar el dispositivo. Esta acción provocó que más de 100.000 usuarios viesen la información de sus direcciones y sus códigos de tarjeta SIM publicados.

AT&T respondió al grupo de hackers acusándolos de esforzarse en la obtención de estos datos, pero Goatse replicó a la operadora explicando que la operación les había llevado una hora y acusando tanto a AT&T como a Apple de no prestar la suficiente atención a la seguridad de sus productos, a la vez que aseguraban que solo su actuación para poner en evidencia el fallo había hecho reaccionar a la compañía y que, de lo contrario, no habrían corregido el problema. El grupo apuntó como prueba de sus afirmaciones a la falta a día de hoy de un parche para la vulnerabilidad de Safari que fue descubierta hace ya tres meses.

AT&T aseguró que sabía del fallo que provocó la filtración de los emails con dos días de antelación y que el pasado martes había proporcionado un parche. A pesar de estas declaraciones, lo cierto es que la operadora no comunicó la vulnerabilidad a sus clientes hasta el domingo.

Los hackers afirman que AT&T tuvo tiempo de sobra para informar sobre el fallo antes de que ellos lo publicaran y, sin embargo, no lo hizo. Una vez que se desarrolla el parche, se debe informar a los usuarios lo antes posible, no varios días después.