Los investigadores de seguridad dicen que el iPhone tiene una falla grave en la aplicación nativa de iOS Mail que lo hace vulnerable a los piratas informáticos, según un informe publicado el miércoles por la firma ZecOps con sede en San Francisco.
La falla no se había revelado previamente a Apple, por lo que es extremadamente valiosa para una variedad de malos actores. ZecOps dice que cree "con gran confianza en que estas vulnerabilidades … son ampliamente explotadas en la naturaleza en ataques dirigidos por un operador u operadores de amenazas avanzados".
ZecOps cree que al menos seis objetivos de alto perfil fueron víctimas de la hazaña, incluido un ejecutivo de un operador de telefonía móvil en Japón y "individuos de una compañía Fortune 500 en América del Norte". ZecOps se niega a nombrar a las víctimas por razones de privacidad, y dice que no pudo obtener el código malicioso porque los piratas informáticos eliminaron los mensajes de correo electrónico de forma remota.
"El alcance del ataque consiste en enviar un correo electrónico especialmente diseñado al buzón de la víctima que le permite activar la vulnerabilidad en el contexto de la aplicación iOS MobileMail en iOS 12 o maild en iOS 13", se lee en el informe. ZecOps dice que la vulnerabilidad, que subyace en al menos dos exploits de día cero relacionados con iOS, ha existido en la aplicación Mail desde al menos iOS 6, que se lanzó en 2012.
En este momento, sin embargo, no parece que ZecOps tenga evidencia pública de los exploits que se están utilizando, se siente cómodo de compartir, lo que lleva a algunos investigadores de seguridad a cuestionar la validez del reclamo. Eso incluye a Jann Horn, investigador del proyecto de ciberseguridad Project Zero de Google:
@ZecOps su escrito dice "Los eventos sospechosos incluían cadenas comúnmente utilizadas por hackers (por ejemplo, 414141 … 4141)", pero eso es lo que parece cuando simplemente codifica nullbytes en base64; y este es el análisis MIME, por lo que es probable que vea datos codificados en base64
– Jann Horn (@tehjh) 22 de abril de 2020
En cualquier caso, lo que hace que este exploit en particular sea tan peligroso en teoría es que no requiere que la víctima descargue un archivo o visite un sitio web infestado de malware. En cambio, todo lo que se requiere para ejecutar código de forma remota en el dispositivo iOS de una víctima es que la aplicación de Correo reciba el correo electrónico y que la víctima abra el mensaje.
ZecOps dice que reprodujo los resultados del hack en su laboratorio después de ser alterado por accidentes sospechosos en los iPhone de los clientes el verano pasado. Luego reportó las vulnerabilidades el mes pasado a Apple, que ZecOps dice que ya parchó la vulnerabilidad en la versión beta más reciente de iOS. Se espera que las soluciones lleguen para la versión no beta de iOS en una actualización para todos los usuarios en las próximas semanas. Apple se negó a comentar sobre los hallazgos.
"Para mitigar estos problemas, puede utilizar la última versión beta disponible. Si no es posible usar una versión beta, considere deshabilitar la aplicación Mail y use Outlook o Gmail que no sean vulnerables ”, escribe ZecOps.