Apple finalmente ha cambiado el mecanismo de distribución de sus actualizaciones de seguridad a HTTPS con el lanzamiento de iOS 10.

Anteriormente, las actualizaciones se enviaban a los dispositivos a través de HTTP y los atacantes ya presentes en una red podrían interceptar y manipular las actualizaciones.

"Existía un problema en las actualizaciones de iOS, las cuales no aseguraban correctamente la comunicación de usuarios. Esta cuestión fue tratada mediante el uso de HTTPS para las actualizaciones de software", dijo Apple, añadiendo que un atacante haciendo un MitM podría bloquear la recepción de actualizaciones en los dispositivos.

Este cambio fue una de las siete vulnerabilidades parchadas en iOS 10, una importante actualización para el sistema operativo móvil. En las primeras horas de la actualización, los usuarios también reportaron problemas con la instalación ya que esta ocasionaba que los dispositivos entraran en modo de recuperación, según MacRumors. Apple reconoció más tarde que había un problema con el proceso de actualización y que un pequeño número de usuarios se vieron afectados antes de que se solucionara.

Apple corrigió un problema potencialmente grave en la aplicación nativa de correo electrónico de iOS con la que un atacante en la red podría robar las credenciales de correo.

"Existía un problema al manejar certificados no confiables", dijo Apple. "Esto se corrigió cerrando las conexiones no confiables."

Apple también parchó un problema de privacidad en su nuevo sistema de mensajes para iOS 10 y anteriores para iPhones y iPads, este problema permitía leer mensajes en un dispositivo en el que no se ha iniciado sesión. Apple mencionó que el problema residía en el uso de Handoff en la aplicación de mensajes, y que se resolvió mediante una mejor gestión de estados. Handoff se asegura de la sincronización y continuidad entre los dispositivos iOS.

Apple también ha resuelto un problema con el que aplicaciones maliciosas podrían utilizarse para determinar a quién se están enviando mensajes de texto.

"Adicionalmente existía otra vulnerabilidad de control de acceso en el directorio de borradores de SMS", dijo Apple. "Esta vulnerabilidad fue tratada evitando que las aplicaciones consultaran el estado de los directorios afectados."

También se resolvió una vulnerabilidad en el teclado de iOS que provocaba que el teclado almacenará información sensible y la mostrara en las sugerencias de corrección automática.

Un error en GeoServicies permitía que algunas aplicaciones pudieran leer la información de ubicación debido a un problema de permisos en PlaceData.

Adicionalmente se actualizó Xcode para El Capitan 10.11.5 y posterior, corrigiendo una vulnerabilidad en la herramienta “otool”, esta vulnerabilidad permite a un atacante local bloquear aplicaciones o ejecutar código. Apple mencionó que parchó múltiples errores de corrupción de memoria.

La última actualización fue para watchOS, donde un problema de permisos en PlaceData podría permitir que una aplicación obtuviera información de la ubicación del dispositivo.