Según un artículo publicado el día de hoy (22 de Abril del 2020) en The Verge, se reveló que un grupo de investigadores de la empresa de seguridad informática ZecOps han encontrado una grave vulnerabilidad en la aplicación de correos de los iPhones (iOS Mail app) que permite espiar a los usuarios de iOS.
La aplicación de correo predeterminada preinstalada en millones de iPhones y iPads se ha encontrado vulnerable a dos fallas críticas que los atacantes están explotando actualmente, al menos, desde los últimos dos años para espiar a víctimas de alto perfil.
Las fallas eventualmente podrían permitir que los ciberdelincuentes tomar el control total de los dispositivos de Apple de forma sigilosa, simplemente enviando un correo electrónico a cualquier persona con su cuenta de correo electrónico con una sesión iniciada en la aplicación iOS Mail.
Según los investigadores de ciberseguridad de ZecOps, los errores en cuestión son fallas de ejecución remota de código que residen en la biblioteca MIME de la aplicación de correo de Apple. El primero, debido a un error de escritura fuera de los límites de memoria y el segundo, es un problema de desbordamiento de pila.
Aunque ambas fallas se activan mientras se procesa el contenido de un correo electrónico, la segunda falla es más peligrosa porque puede explotarse con ‘click-cero’, es decir no se requiere interacción de los destinatarios del ataque para activarlo.
Es un error de día cero con más de 8 años en iOS.
Según los investigadores, ambas vulnerabilidades existieron en varios modelos de iPhone y iPad durante los últimos 8 años desde el lanzamiento de iOS 6 y desafortunadamente, también afectan el iOS 13.4.1 actual sin actualizaciones disponibles todavía para las versiones normales.
Lo que es más preocupante es que múltiples grupos de atacantes ya están explotando estas vulnerabilidades, durante al menos los 2 últimos años, para atacar a individuos de diversas industrias y organizaciones, dentro de ellos proveedores de servicios de seguridad de Arabia Saudita e Israel y periodistas en Europa.
Los investigadores declararon que: “Con datos muy limitados, pudimos ver que al menos seis organizaciones se vieron afectadas por esta vulnerabilidad, y el alcance total del abuso de esta vulnerabilidad es enorme“.
“Si bien ZecOps se abstiene de atribuir estos ataques a un actor de amenaza específico, somos conscientes de que al menos una organización de ‘cibercriminales’ está vendiendo exploits utilizando vulnerabilidades que aprovechan las direcciones de correo electrónico como el identificador principal“.
Según los investigadores, podría ser difícil para los usuarios de Apple saber si ya fueron atacados a tavés de estas vulnerabilidades porque resulta que los atacantes eliminan el correo electrónico malicioso inmediatamente después de obtener acceso remoto al dispositivo de las víctimas.
Cabe señalar que, en una explotación exitosa, la vulnerabilidad ejecuta código malicioso en el contexto de la aplicación MobileMail o maild, permitiendo a los atacantes “filtrar, modificar y eliminar correos electrónicos”.
Sin embargo, para tomar el control total del dispositivo de forma remota, los atacantes deben encadenarlo junto con una vulnerabilidad del núcleo separada.
Aunque ZecOps no ha mencionado ningún detalle sobre qué tipo de atacantes de malware han estado utilizando esta vulnerabilidad para atacar a los usuarios, sí creía que los atacantes están explotando dichas fallas en combinación con otros problemas del núcleo para espiar con éxito a sus víctimas.
Los investigadores de ZecOps han detectado ataques en el mundo real y descubrieron las fallas relacionadas hace casi dos meses y lo informaron al equipo de seguridad de Apple.
Al momento de escribir este artículo, solo la versión beta 13.4.5 de iOS, lanzada la semana pasada, contiene parches de seguridad para ambas vulnerabilidades de día cero.
Para los millones de usuarios de iPhone e iPad, pronto estará disponible un parche de software público con el lanzamiento de la próxima actualización de iOS.
Mientras tanto, se recomienda encarecidamente a los usuarios de Apple que no utilicen la aplicación de correo integrada de sus smartphones; en su lugar, cambie temporalmente a las aplicaciones de Outlook o Gmail.