La semana pasada Google publicó que, durante mucho tiempo, los iPhone podían ser hackeados, simplemente con visitar una página web maliciosa. El ataque se aprovechaba de una vulnerabilidad en el sistema que permitía otorgar permisos al atacante.
La investigación provenía de Project Zero, un grupo de expertos reunidos por Google para encontrar fallos y vulnerabilidades en cualquier sistema; su objetivo es hacer "Internet más segura", por lo que comprueban servicios y sistemas que no son de Google. Son ya famosos por no tener piedad, obligando a Apple a arreglar estos bugs en apenas una semana, bajo la amenaza de publicar las vulnerabilidades.
Sin embargo, ahora Forbes ha revelado que, en realidad, estos ataques no estaban dirigidos sólo a usuarios de iPhone; y que Windows y Android (propiedad de Google) también se vieron afectados.
Windows y Android también se pueden hackear
Con estos ataques, sería posible entrar en el sistema y obtener toda la información guardada; además de instalar programas espía (spyware) sin que el usuario se diese cuenta. El acceso al sistema sería completo, y para conseguirlo sólo sería necesario visitar un servidor infectado por los atacantes.
Estos nuevos ataques están diseñados principalmente para obtener información de usuarios de la provincia de Sinkiang, China; con una población mayoritariamente musulmana, es una zona muy vigilada por el gobierno central, llegando incluso a instalar spyware en los móviles de los visitantes.
Google no hizo mención alguna a otros sistemas cuando hizo públicas las vulnerabilidades que sufría iOS, el sistema operativo rival de Android; aún no está claro si es porque los investigadores no eran conscientes de que el ataque estaba dirigido a otros sistemas operativos, o por otra razón.
Project Zero ha sido duramente criticada por su política de publicar vulnerabilidades incluso si el bug no está solucionado. Google impone un plazo de 90 días para arreglar el problema, pero en el caso de Apple hizo una excepción y el plazo fue de sólo siete días. Apple publicó la actualización, 12.1.4, sólo seis días después de ser informada del problema.
En cambio, Google no se autoimpone esos límites cuando son problemas propios. El pasado marzo de 2018, la compañía descubrió serios problemas en Google+, su red social; pero no avisó a los usuarios hasta octubre, siete meses después, y sólo después de que los medios filtrasen estas vulnerabilidades. Dos meses después, se descubrió que era un problema mayor de lo que se creía, y que afectaba a decenas de millones de usuarios.
Ni Google ni Microsoft han realizado declaraciones aún sobre estos ataques, ni hay noticias de que los problemas hayan sido tapados con actualizaciones como en el caso de iOS.