Apple ha publicado un documento de seguridad en el que nos cuenta que iOS 14.4 parchea una serie de problemas de seguridad que eran especialmente graves, porque ya estaban siendo utilizados por hackers para acceder a contenidos de un iPhone bloqueado de manera fraudulenta. Apple simplemente indica que esta vulnerabilidad podría haber sido utilizada, algo que no suele indicar en este tipo de documentos de seguridad.
Es por esta razón que si aún no has actualizado a iOS 14.4, lo hagas ahora. Apple no detalla en absoluto cuántos usuarios podrían haberse visto afectados por esto, pero sobre todo si tienes datos importantes en tu iPhone que no quieres que vean la luz del día, actualizar a iOS 14.4 es especialmente importante en esta ocasión para evitar problemas mayores.
Las vulnerabilidades, que son varias, se encuentran en el motor Webkit que pinta las webs en Safari (y cualquier App o cualquier otro navegador, ya que en iOS todos utilizan ese motor por obligación) y también en el kernel del sistema, el núcleo del sistema operativo. Es habitual utilizar diferentes vulnerabilidades para conseguir romper la seguridad del sistema mediante la obtención de mayores privilegios de usuario, generalmente de root, que permiten básicamente hacer lo que uno quiera en cualquiera de las partes que componen iOS porque ese es el súper usuario con permiso para hacer cualquier cosa.
Curiosamente Apple mantiene en el anonimato a las personas que les han notificado sobre estos problemas. Habitualmente es como un trofeo honorífico que a uno le nombren y reconozcan cuando encuentra problemas de este tipo. De hecho, no nos sorprendería que en este caso esos investigadores anónimos hayan recibido interesantes cuantías de dinero porque Apple ofrece un programa de recompensas a investigadores de seguridad (otra manera más eufemística de decir hackers) que reportan problemas que aún no conozcan y que no hayan sido publicados en ningún otro lugar.
Las vulnerabilidades del motor web de cualquier dispositivo informático, son de lejos las más utilizadas para hackear un sistema. Es una de las razones por las que, si se puede evitar, los fabricantes de consolas por ejemplo intentan evitar su inclusión en el dispositivo, aunque a menudo es prácticamente imposible de evitar porque hoy en día las tiendas de aplicaciones o documentos de ayuda, instrucciones etc de muchos aparatos funcionan con navegadores que muestran estos contenidos producidos en HTML, JavaScript, etc.