Un par de hackers del grupo Fluoracetato ha conseguido recuperar una fotografía eliminada de la galería de un dispositivo iPhone X, al aprovecharse de una vulnerabilidad presente en el sistema operativo iOS 12.1, que podría ser utilizada por ciberdelincuentes para robar imágenes ya eliminadas de los teléfonos de Apple.
La imagen se eliminó de la galería de Fotos y acabó ubicada en la carpeta ‘eliminado’, de donde el dúo de hackers fue capaz de extraerla, según recoge el medio francés Igen. Para ello, se valieron de una vulnerabilidad presente en el compilador en tiempo de ejecución (JIT, según sus siglas en inglés) del navegador Safari de Apple.
Los dos ‘hackers’ explotaron esta vulnerabilidad de iPhone X en la versión 12.1 de iOS durante la competencia Mobile Pwn2Own, un evento en el cual distintos piratas informáticos tienen que ‘explotar’ un móvil a través de vulnerabilidades desconocidas, para así quedarse con él como premio. Este año, Mobile Pwn2Own se celebró durante el 13 y 14 de noviembre en Tokio (Japón), enmarcado dentro de la conferencia de ciberseguridad PacSec.
La carpeta ‘Eliminado’ recoge los documentos borrados de la galería del teléfono durante los últimos treinta días, con posibilidad de ser restaurados por parte del propietario del teléfono, y una vez pasado este tiempo, desaparecen de forma definitiva. Los dos ‘hackers’ fueron capaces de extraer una fotografía al valerse de una red WiFi pública a la que se conectaron.
Junto al iPhone X, los piratas informáticos también ‘explotaron’ con éxito un Xiaomi Mi6, según se recoge en la web Zero Day Initiative, una comunidad global de investigadores de ciberseguridad, cuyos integrantes se encargan de descubrir fallos de ‘software’ de tipo ‘día cero’ en dispositivos, los cuales pueden ser aprovechados por cibercriminales.
En la publicación se ha descrito que, por medio de tecnología de comunicación de campo cercano (NFC), los ‘hackers’ vulneraron el Xiaomi Mi6 y lo forzaron a abrir el navegador al utilizar la función de ‘toque para conectar’, y a navegar a través de él.
En la cuenta de Twitter de Zero Day Initiative se han señalado todas las vulnerabilidades descubiertas por Fluoracetato, entre las que también destaca la recuperación de una imagen eliminada en Xiaomi Mi6, aunque esta vez a través de un fallo de JavaScript de su navegador web.
Junto a esto, Richard Zhu y Amat Cama, integrantes de Fluoracetato, también consiguieron con éxito realizar un ataque de banda base en Samsung Galaxy S9 para provocar un exceso de flujo de datos en un montículo y así obtener acceso no autorizado a la memoria del terminal y ejecutar códigos.