Es momento de actualizar a la última versión de watchOS, sistema operativo para relojes inteligentes de Apple, pero no se debe hacer mientras se está conectado a una red que no sea de confianza.

La Versión 1.0.1 de watchOS corrige una serie de errores graves, entre ellos se encuentra uno apodado DoubleDirect que puede ser explotado por un atacante con una posición privilegiada en la red para redirigir el tráfico de usuarios a hosts arbitrarios.

En definitiva, el fallo permite a un atacante realizar un ataque MitM para robar credenciales de acceso y entregar payloads (cargas) maliciosas al dispositivo de la víctima.

"A diferencia de la mayoría de las implementaciones MitM de ICMP, que sólo son half-duplex (excepto para el proyecto de InterceptNG), DoubleDirect permite un ataque MitM full-duplex. Un atacante puede interceptar totalmente la comunicación de la víctima y la puerta de entrada," explicó en un blog Zuk Avraham, CEO de Zimperium.

"Zimperium descubrió ataques DoubleDirect activos el año pasado. Afortunadamente, pudimos proporcionar una PoC (Prueba de Concepto) pública y el análisis de la causa raíz, con esto Apple pudo arreglar todos sus sistemas operativos más recientes."

La solución fue ejecutada mediante la desactivación de las redirecciones ICMP, las cuales estaban habilitadas por defecto.

Avraham insta a todos los usuarios del Apple Watch a actualizar el sistema operativo del dispositivo tan pronto como sea posible, pero evitar hacerlo mientras se esté conectado a una red corporativa pública o no administrada.