Un conjunto de vulnerabilidades app-to-app encontradas en dispositivos de Apple iOS y OS X podrían permitir a cibercriminales cargar malware y robar contraseñas de servicios incluyendo a Mail y iCloud, informa The Register.

El hallazgo fue realizado por seis investigadores de la Universidad de Indiana, la Universidad de Beijing y el Instituto de Tecnología de Georgia, cuyo artículo académico reveló una serie de fallas que, combinadas, podrían explotar apps maliciosas para obtener acceso no autorizado a los datos almacenados por otras aplicaciones (contraseñas de iCloud, tokens de autenticación o credenciales web almacenadas en Google Chrome).

Los investigadores tuvieron primero que pasar por alto el proceso de investigación de antecedentes de Apple para lograr publicar sus aplicaciones en la App Store, tras lo cual fueron capaces de descifrar el keychain del almacenamiento de contraseñas de Apple, romper sandboxes de apps y luego robar información confidencial de varias de alto perfil, y de sitios web. Según el informe, más del 88% de las aplicaciones estuvieron "completamente expuestas" al ataque.

"Hemos descifrado por completo el servicio de keychain -se utiliza para almacenar contraseñas y otras credenciales para diferentes aplicaciones de Apple- y contenedores sandbox en OS X, y también identificamos nuevas debilidades dentro de los mecanismos de comunicación entre las aplicaciones de OS X y iOS que se pueden utilizar para robar datos confidenciales de Evernote, Facebook y otras aplicaciones de alto perfil ", le dijo a The Register el investigador principal, Luyi Xing.

Krebs on Security escribe que el equipo también fue capaz de atacar las credenciales bancarias a través de Google Chrome, con una aplicación en aislamiento (sandbox) para robar el keychain del sistema, tokens de iCloud y las contraseñas de los ficheros de claves.

Según The Register, Apple fue advertida de la vulnerabilidad en febrero de 2015, y pidió a los investigadores mantener a raya a la divulgación por seis meses. Los usuarios de dispositivos de Apple deben ser muy prudentes al descargar aplicaciones, incluso de las tiendas oficiales en iOS y Mac.

Mientras tanto, Samsung también descubrió un importante fallo de seguridad esta semana, con actualizaciones a su aplicación de teclado SwiftKey permitiendo potencialmente que archivos maliciosos que se envíen al dispositivo, a través de un ataque Man-In-The-Middle. 600 millones de teléfonos Samsung Galaxy podrían ser vulnerables.

Créditos imagen: Bloomua/Shutterstock