iPhone: Alertan de una importante falla de seguridad en su aplicación de correo electrónico
La empresa de ciberseguridad ZecOps ha publicado en un informe una brecha de seguridad inédita relacionada con la aplicación por defecto de correo electrónico de los teléfonos y tabletas fabricados por Apple que cuenten con un sistema operativo IOS 6 o superior, incluyendo la última versión del sistema operativo.
La compañía informó que no se trata de un descubrimiento simplemente a nivel teórico y afirma que se estaría ante una forma de ataque que ya se utilizado.
Aunque ZecOps no proporciona nombres, apunta a directivos de grandes empresas en Estados Unidos y a un directivo de una empresa de telecomunicaciones japonesa, de los que habría obtenido evidencias del código malicioso.
El funcionamiento de este ataque consiste en el envío de correos electrónicos especialmente modificados a la bandeja de entrada de la víctima. En el caso de que la víctima estuviese usando la aplicación de correo predeterminada en iOS 12 o 13, se permitiría la ejecución de la vulnerabilidad y, por tanto, se permitiría a los atacantes robar, editar o borrar correos.
La empresa asegura "con alta confianza" que estas vulnerabilidades son "ampliamente explotadas en ataques dirigidos por operador(es) de amenazas avanzados". Según los investigadores, todos los iPhones e iPads con sistema operativo iOS 6 o superior se ven afectados, incluyendo la versión más reciente 13.4.1.
Telcos invirtieron contrarreloj todo el presupuesto 2020 para poner a punto la red: ahora falta el WiFi hogareño
La vulnerabilidad es especialmente grave en iOS 13, puesto que no se necesita la interacción con el usuario para comprometer el dispositivo, tan solo que la aplicación Mail se esté ejecutando en segundo plano. En iOS 12 se necesita que la víctima pulse sobre el correo malicioso, activándose el ataque antes de que se muestre el contenido del mensaje.
Otro de los aspectos más preocupantes es que este tipo de ataques no presenta síntomas, con la salvedad de que en iOS 13 se experimenta una ralentización temporal del teléfono (o la tableta). En el caso de iOS 12 un síntoma sería que la aplicación de correo se detenga abruptamente.
Al estar Apple informada de este fallo antes de que se hiciera público, el parche que soluciona estas graves vulnerabilidades ya se incluye en la versión de iOS 13.4.5 beta 2 que fue lanzada el 15 de abril.
Sin embargo, al tratarse de una versión preliminar, muy pocos dispositivos la tienen instalada y es de esperar que en los próximos días se lance una actualización para todos los dispositivos con soporte, recomendaron desde la empresa de ciberseguridad Eset.
Mientras tanto, los usuarios que estén esperando la actualización pueden de manera temporal optar por cambiar su aplicación de correo electrónico por otro que no sea vulnerable, como por ejemplo Gmail u Outlook.