Apple corrige una vulnerabilidad en Notification Services que permitía retención indebida de notificaciones eliminadas

### 1. Introducción

Apple ha publicado una actualización de seguridad fuera de ciclo (out-of-band) dirigida a dispositivos iPhone y iPad, respondiendo a la identificación de una vulnerabilidad en el componente Notification Services. Este fallo permitía que ciertas notificaciones, supuestamente eliminadas por el usuario, permanecieran almacenadas en el dispositivo más allá del ciclo de vida esperado. La compañía ha instado a todos los usuarios y administradores de flotas de dispositivos a actualizar cuanto antes, ante el potencial impacto en la privacidad y el cumplimiento normativo.

### 2. Contexto del Incidente o Vulnerabilidad

La vulnerabilidad se ha identificado en el sistema operativo iOS, concretamente en las versiones anteriores a iOS 17.5.1 y iPadOS 17.5.1. Apple ha acelerado la liberación de este parche tras detectar que la gestión de notificaciones en el subsistema Notification Services no eliminaba correctamente ciertos elementos marcados para su borrado.

Este tipo de fallo puede suponer un riesgo significativo para la confidencialidad de la información, ya que la retención no autorizada de datos puede ser explotada en escenarios de acceso físico, análisis forense o mediante la explotación de otras vulnerabilidades en cadena.

### 3. Detalles Técnicos

La vulnerabilidad, identificada como CVE-2024-27804, reside en la lógica de manejo de notificaciones en el framework Notification Services. El error radica en que, bajo ciertas condiciones, las notificaciones marcadas para eliminación mediante la interfaz de usuario o la API de desarrollo, no se eliminaban físicamente del almacenamiento del dispositivo. En su lugar, quedaban accesibles a través de ciertas consultas internas o herramientas de análisis de datos.

El vector de ataque más relevante sería el acceso físico al dispositivo, donde un atacante podría extraer notificaciones sensibles mediante herramientas forenses como Cellebrite UFED o GrayKey. Alternativamente, un malware con permisos elevados podría acceder a los datos residuales. Si bien no se ha observado explotación activa en la naturaleza (“in the wild”), la publicación del detalle técnico aumenta el riesgo de aparición de PoCs y exploits en frameworks como Metasploit en próximas semanas.

Según el marco MITRE ATT&CK, este tipo de vulnerabilidad se alinea con las tácticas de “Collection” (TA0009) y técnicas como “Data from Local System” (T1005). Hasta el momento, no se han publicado Indicadores de Compromiso (IoC) específicos, pero se recomienda monitorizar logs de acceso y herramientas forenses para detectar actividad sospechosa.

### 4. Impacto y Riesgos

El impacto principal de esta vulnerabilidad es la exposición inadvertida de datos sensibles que, según la intención del usuario, deberían haber sido eliminados. Entre los riesgos destacan:

– **Violación de privacidad:** Notificaciones de aplicaciones de mensajería, correo o autenticadores pueden contener datos personales o credenciales.
– **Cumplimiento normativo:** El almacenamiento no autorizado de datos puede suponer una infracción de la GDPR (artículo 17, “derecho al olvido”) y futuras normativas como NIS2.
– **Persistencia de datos tras reseteo:** En entornos corporativos, esto podría facilitar la recuperación de información tras el borrado lógico o la baja de dispositivos.
– **Aprovechamiento por malware:** Un atacante con acceso a bajo nivel puede extraer estos datos y emplearlos en movimientos laterales o escalada de privilegios.

Según estimaciones preliminares, la base instalada afectada podría superar los 1.200 millones de dispositivos, lo que subraya la criticidad del parche.

### 5. Medidas de Mitigación y Recomendaciones

Apple ha publicado iOS 17.5.1 y iPadOS 17.5.1 para subsanar la vulnerabilidad. Se recomienda:

– **Actualizar inmediatamente** todos los dispositivos afectados, incluyendo entornos MDM (Mobile Device Management).
– **Verificar la versión** mediante la ruta Ajustes > General > Información.
– **Monitorizar logs** de acceso físico y herramientas forenses, especialmente en entornos de alta sensibilidad.
– **Revisar políticas de retención** de datos en dispositivos móviles, ajustando los flujos de borrado seguro.
– **Concienciar a los usuarios** sobre la importancia de mantener los sistemas actualizados y reportar cualquier anomalía.
– **Aplicar cifrado completo** en dispositivos, para mitigar riesgos en caso de pérdida física.

### 6. Opinión de Expertos

Especialistas en seguridad móvil, como Thomas Reed (Director de Mac & Mobile en Malwarebytes), alertan de que “la persistencia involuntaria de datos es uno de los vectores más subestimados en la era post-GDPR, especialmente en dispositivos personales y BYOD”. Desde el sector legal, se recalca que “la retención indebida puede tener consecuencias legales significativas, tanto por denuncias individuales como por sanciones regulatorias”.

El consenso es claro: la gestión segura y garantizada del ciclo de vida de los datos en dispositivos finales es indispensable para proteger tanto la privacidad individual como los intereses corporativos.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas sometidas a esquemas de cumplimiento como GDPR o NIS2, la actualización es crítica. La presencia de notificaciones no eliminadas puede suponer una brecha de datos en auditorías o inspecciones regulatorias. En entornos de movilidad corporativa, la exposición es aún mayor dado el volumen de datos sensibles y la rotación de terminales.

Para los usuarios, el principal riesgo es la exposición de información personal, contraseñas temporales o comunicaciones privadas. La actualización inmediata y la revisión periódica de la gestión de notificaciones son medidas imprescindibles.

### 8. Conclusiones

La rapidez de Apple en la liberación de este parche demuestra la gravedad de la vulnerabilidad, tanto desde una perspectiva técnica como regulatoria. El caso subraya la necesidad de una vigilancia constante sobre el ciclo de vida de los datos en dispositivos móviles, así como la importancia de mantener una cultura de actualización y concienciación en todos los niveles de la organización.

En un contexto donde la privacidad y la protección de datos son prioridades estratégicas y legales, vulnerabilidades como CVE-2024-27804 obligan a redoblar esfuerzos en la gestión segura de dispositivos y la respuesta temprana a incidentes.

(Fuente: www.bleepingcomputer.com)