¡Cuidado usuarios de Apple!
Se descubrió que la aplicación de correo predeterminada preinstalada en millones de iPhones y iPads es vulnerable a dos fallas críticas que los atacantes están explotando en la naturaleza, al menos, durante los últimos dos años para espiar a víctimas de alto perfil.
Las fallas podrían eventualmente permitir que los piratas informáticos remotos tomen en secreto el control total de los dispositivos Apple simplemente enviando un correo electrónico a cualquier persona objetivo con su cuenta de correo electrónico iniciada en la aplicación vulnerable.
Según los investigadores de seguridad cibernética de ZecOps, los errores en cuestión son fallas de ejecución remota de código que residen en la biblioteca MIME de la aplicación de correo de Apple; primero, debido a un error de escritura fuera de los límites y segundo, es un problema de desbordamiento de montón.
Aunque ambas fallas se activan al procesar el contenido de un correo electrónico, la segunda falla es más peligrosa porque puede explotarse con un «clic cero», donde no se requiere interacción de los destinatarios objetivo.
Apple Zero-Days de 8 años explotado en la naturaleza
Según los investigadores, ambas fallas existieron en varios modelos de iPhone y iPad durante los últimos 8 años desde el lanzamiento de iOS 6 y, desafortunadamente, también afectan al iOS 13.4.1 actual sin parche disponible para las versiones regulares.
Lo que es más preocupante es que múltiples grupos de atacantes ya están explotando estas fallas, durante al menos 2 años como zero-days en la naturaleza, para apuntar a personas de varias industrias y organizaciones, MSSP de Arabia Saudita e Israel y periodistas en Europa.
«Con datos muy limitados, pudimos ver que al menos seis organizaciones se vieron afectadas por esta vulnerabilidad, y el alcance total del abuso de esta vulnerabilidad es enorme», dijeron los investigadores.
«Si bien ZecOps se abstiene de atribuir estos ataques a un actor de amenazas específico, somos conscientes de que al menos una organización de ‘hackers a sueldo’ está vendiendo exploits utilizando vulnerabilidades que aprovechan las direcciones de correo electrónico como el identificador principal».
Según los investigadores, podría ser difícil para los usuarios de Apple saber si fueron objeto de estos ataques cibernéticos porque resulta que los atacantes eliminan el correo electrónico malicioso inmediatamente después de obtener acceso remoto al dispositivo de las víctimas.
«Cabe destacar que, aunque los datos confirman que los correos electrónicos de explotación fueron recibidos y procesados por los dispositivos iOS de las víctimas, faltaban los correos electrónicos correspondientes que deberían haberse recibido y almacenado en el servidor de correo. Por lo tanto, inferimos que estos correos electrónicos se eliminaron intencionalmente como parte de las medidas de limpieza de seguridad operativa de un ataque «, dijeron los investigadores.
«Además de una ralentización temporal de una aplicación de correo móvil, los usuarios no deben observar ningún otro comportamiento anómalo».
Cabe señalar que, en caso de explotación exitosa, la vulnerabilidad ejecuta un código malicioso en el contexto de la aplicación MobileMail o maild, lo que permite a los atacantes «filtrar, modificar y eliminar correos electrónicos».
Sin embargo, para tomar el control total del dispositivo de forma remota, los atacantes deben encadenarlo con una vulnerabilidad de kernel separada.
Aunque ZecOps no ha mencionado ningún detalle sobre qué tipo de malware han estado usando los atacantes para atacar a los usuarios, sí cree que los atacantes están explotando las fallas en combinación con otros problemas del kernel para espiar con éxito a sus víctimas.
¡Tener cuidado! Ningún parche aún disponible
Los investigadores detectaron ataques in-the-wild y descubrieron las fallas relacionadas hace casi dos meses y lo informaron al equipo de seguridad de Apple.
Al momento de escribir este artículo, solo la versión beta 13.4.5 de iOS, lanzada la semana pasada, contiene parches de seguridad para ambas vulnerabilidades de día cero.
Para millones de usuarios de iPhone y iPad, pronto estará disponible un parche de software público con el lanzamiento de la próxima actualización de iOS.
Mientras tanto, se recomienda encarecidamente a los usuarios de Apple que no utilicen la aplicación de correo integrada de sus teléfonos inteligentes; en su lugar, cambie temporalmente a las aplicaciones de Outlook o Gmail.
En una noticia separada, hoy informamos sobre otra campaña de piratería de iPhone en la que los piratas informáticos chinos fueron atrapados apuntando a los musulmanes uigures con cadenas de iOS y aplicaciones de spyware.
