Hace aproximadamente una semana, los investigadores de seguridad del equipo del Proyecto Cero de Google nos proporcionaron detalles de un ataque de malware extremadamente sofisticado dirigido a la comunidad musulmana uigur de China. A través de una cadena de exploits de día cero, los propietarios de iPhone que visitaron sitios web infectados a menudo frecuentados por la comunidad uigur tenían malware instalado en sus dispositivos. A partir de ahí, el malware pudo recopilar fotos de usuarios, mensajes privados e incluso datos de ubicación GPS en tiempo real.

En respuesta al informe original del Proyecto Cero, Apple emitió hoy una respuesta oficial que aparentemente clasifica el informe del Proyecto Cero como alarmista. En pocas palabras, Apple no niega que el malware existiera, pero está en desacuerdo con el alcance del problema. Por ejemplo, el informe original del Proyecto Cero afirma que los sitios web infectados en cuestión estuvieron operativos durante dos años. Apple lo niega y afirma que solo estuvieron operativos durante dos meses.

La declaración de Apple dice en parte:

Primero, el ataque sofisticado se enfocó estrechamente, no una explotación amplia de iPhones "en masa" como se describe. El ataque afectó a menos de una docena de sitios web que se centran en contenido relacionado con la comunidad uigur. Independientemente de la magnitud del ataque, nos tomamos la seguridad de todos los usuarios extremadamente en serio.

La publicación de Google, emitida seis meses después del lanzamiento de los parches de iOS, crea la falsa impresión de "explotación masiva" para "monitorear las actividades privadas de poblaciones enteras en tiempo real", avivando el temor entre todos los usuarios de iPhone de que sus dispositivos se habían visto comprometidos. Este nunca fue el caso.

Apple también señala que reparó las vulnerabilidades de iOS en cuestión solo 10 días después de que los investigadores de Google se pusieran en contacto con ellos. Además, Apple afirma que estaba trabajando para solucionar las lagunas de seguridad antes de que Google incluso los contactara. En este punto, no está claro si otro tercero alertó a Apple sobre las vulnerabilidades o si fueron descubiertos por los ingenieros de Apple.

También vale la pena señalar que el ataque de malware en cuestión no se dirigió únicamente a los usuarios de iPhone. Por el contrario, el malware era bastante extenso y apuntaba a dispositivos Android junto con PC con Windows.

Curiosamente, Google no tardó mucho en responder a la respuesta de Apple. En una declaración proporcionada a El borde, el gigante de búsqueda dijo lo siguiente:

Project Zero publica una investigación técnica que está diseñada para avanzar en la comprensión de las vulnerabilidades de seguridad, lo que conduce a mejores estrategias defensivas. Respaldamos nuestra investigación en profundidad que fue escrita para enfocarse en los aspectos técnicos de estas vulnerabilidades. Continuaremos trabajando con Apple y otras compañías líderes para ayudar a mantener a las personas seguras en línea.

Fuente de la imagen: Zach Epstein, BGR