iOS 18 introduce muchas correcciones de seguridad importantes.
iOS 18 y iPadOS 18 de Apple introducen una variedad de mejoras y correcciones de seguridad. Esto es lo que necesita saber y por qué debería considerar actualizar de inmediato.
El lunes, Apple lanzó sus últimos sistemas operativos, iOS 18 y iPadOS 18, y finalmente los puso a disposición del público en general. Si bien las actualizaciones en sí introducen una variedad de características nuevas, también contienen muchas correcciones de seguridad importantes.
Como ocurre con todas las actualizaciones importantes de iOS, iOS 18 soluciona problemas de seguridad fundamentales relacionados con diferentes funciones y aspectos del sistema operativo. Muchas correcciones introducidas el lunes impiden que atacantes, aplicaciones y usuarios no autorizados accedan a información confidencial del usuario, como detalles de contacto o fotografías.
iOS 18 introduce varias correcciones de seguridad relacionadas con la accesibilidad. Estas vulnerabilidades de accesibilidad, ahora solucionadas, brindaron a los atacantes con acceso físico a dispositivos bloqueados formas de acceder a datos confidenciales del usuario.
Una de las vulnerabilidades de accesibilidad mencionadas anteriormente permitió a los atacantes utilizar Siri como medio para recopilar datos confidenciales, mientras que otra permitió a los atacantes controlar dispositivos cercanos a través de funciones de accesibilidad. Apple ha solucionado ambos problemas de seguridad mediante una «gestión de estado mejorada».
Un problema de seguridad adicional permitió a los piratas informáticos utilizar Assistive Access para ver fotos recientes sin autenticación. Apple abordó esta vulnerabilidad de accesibilidad con iOS 18 limitando las opciones disponibles en un dispositivo bloqueado.
Correcciones de seguridad de iOS 18 que protegen sus datos
Control Center recibió una solución para un problema de seguridad que permitía a las aplicaciones grabar la pantalla sin mostrar el indicador apropiado en la barra de estado, lo que significa que los usuarios podrían no saber que se estaba grabando su pantalla. Apple abordó este problema de seguridad utilizando «controles mejorados».
Tanto FileProvider como Game Center tenían problemas de seguridad que permitían que las aplicaciones accedieran a datos confidenciales del usuario. Apple solucionó el problema de FileProvider en iOS 18 mediante el uso de una validación de enlace simbólico mejorada y solucionó el problema de acceso a archivos de Game Center con una validación mejorada.
El Centro de control se ha actualizado y se ha parcheado para detectar vulnerabilidades conocidas.
Un problema de privacidad en la aplicación Mail, descubierto por Rodolphe Brunetti, impedía que las aplicaciones accedieran a la información de contacto de los usuarios. Apple solucionó este problema «mejorando la redacción de datos privados para las entradas de registro».
Un problema de seguridad de Sandbox, descubierto por Csaba Fitzl de Offensive Security, permitió que las aplicaciones filtraran información confidencial del usuario. iOS 18 soluciona este problema con una protección de datos mejorada. De manera similar, un problema de permisos de transparencia permitió que las aplicaciones accedieran a datos confidenciales del usuario. Apple ha abordado este problema con restricciones adicionales.
Las funciones de seguridad de iOS 18 evitan ataques de denegación de servicio
Algunas de las vulnerabilidades ahora solucionadas han permitido a actores maliciosos llevar a cabo ataques de denegación de servicio o DoS.
Un problema con mDNSresponder significaba que las aplicaciones podían causar una denegación de servicio, mientras que los problemas con ImageIO y ModelI/O significaban que el procesamiento de una imagen podía causar una denegación de servicio. Los atacantes remotos también pudieron provocar una denegación de servicio a través de un problema de seguridad celular sin parchear previamente.
iOS 18 corrige el error lógico de mDNSResponder con un mejor manejo de errores, mientras que el problema celular se solucionó con un mejor manejo del estado. La verificación de límites mejorada solucionó el problema de ImageIO, mientras que el problema de seguridad de ModelI/O fue solucionado por un tercero porque es software de código abierto.
Safari recibió parches para dos vulnerabilidades distintas, descubiertas por Kenneth Chew y Anamika Adhikari, las cuales permitían el acceso a pestañas de navegación privadas sin autenticación previa. Apple solucionó ambos problemas de seguridad en iOS 18 y iPadOS 18 mediante una mejor gestión del estado.
También se corrigieron dos vulnerabilidades de WebKit relacionadas con contenido web malicioso en iOS 18. Una de las fallas de seguridad permitió que los sitios web maliciosos filtraran datos de origen cruzado, mientras que la otra involucraba el procesamiento de contenido. La web diseñada con fines malintencionados podría conducir a secuencias de comandos universales entre sitios. Esta última cuestión se abordó mediante una mejor gestión estatal, mientras que la primera se abordó mediante un “mejor seguimiento del origen de la seguridad”.
En una nota relacionada, un problema de seguridad en libxml2 significó que el procesamiento de contenido web malicioso podría causar que el proceso fallara inesperadamente. Para resolver este problema, Apple resolvió un desbordamiento de enteros con una validación de entrada mejorada.
También se solucionó un problema de seguridad relacionado con Wi-Fi con iOS 18. Este problema de seguridad ahora resuelto permitió a los piratas informáticos obligar a un dispositivo a desconectarse de una red segura. Apple solucionó este problema de integridad con iOS 18 con «Protección de etiquetas».
iOS 18 presenta una nueva vista de Lector para Safari, pero también agrega algunas correcciones de seguridad clave.
Andrew Lytvynov informó a Apple de otro problema lógico relacionado con el kernel que permitía que el tráfico de la red se filtrara fuera de un túnel VPN. Apple ha solucionado este problema lógico con «controles mejorados».
De manera similar, un problema con el extensor de red permitió que las aplicaciones obtuvieran acceso no autorizado a la red local de los dispositivos. Como ocurre con muchos otros problemas de seguridad de esta lista, Apple ha abordado este problema mejorando la gestión del estado.
Siri también recibió dos importantes correcciones de seguridad. Uno de ellos corrige una vulnerabilidad que anteriormente permitía a las aplicaciones acceder a información confidencial del usuario. La otra solución evita que los atacantes con acceso físico vean los contactos del usuario a través de la pantalla de bloqueo.
Bluetooth y otras correcciones de seguridad de iOS 18
Varios investigadores informaron de un problema de seguridad relacionado con el kernel que permitía que las aplicaciones obtuvieran acceso no autorizado a Bluetooth. Al igual que con las vulnerabilidades de Safari mencionadas anteriormente, el problema se ha solucionado mediante una «gestión de estado mejorada».
Otro problema de Bluetooth permitió que dispositivos de entrada Bluetooth maliciosos omitieran el emparejamiento. La gestión de estado mejorada soluciona este problema en iOS 18.
UIKit recibió un parche de seguridad que corrige una vulnerabilidad que anteriormente permitía a los atacantes hacer que la aplicación se cerrara inesperadamente. Apple solucionó este problema en iOS 18 utilizando controles de límites mejorados.
La lista completa de actualizaciones y parches de seguridad para iOS 18 y iPadOS 18 se puede encontrar en Sitio web de seguridad de Apple. Además de las correcciones de seguridad ya mencionadas, Apple también ha solucionado otros problemas relacionados con IOSurfaceAccelerator, Notas, Impresión, etc.
Es importante mantener siempre actualizado su sistema operativo, ya que los últimos parches de seguridad de Apple garantizan que a los malos actores les resultará mucho más difícil obtener sus datos privados de usuario.
