Según el equipo de investigación Zecops, hay un problema de seguridad muy grave en el Apple Mail del iPhone, un agujero que permite a hackers ejecutar código en tu teléfono con sólo enviarte un email — sin intervención alguna de los usuarios. No hay que pinchar en nada, sólo recibir el mail en iOS 12 o iOS 13.
Lo más grave es que la vulnerabilidad está producida por dos agujeros en el código que llevan abierto y siendo explotados por hackers desde iOS 6. Es decir, ¡desde septiembre de 2012!
De confirmarse, estas vulnerabilidades serían de las denominados zero-day — problemas de seguridad que están abiertos en software usado por consumidores sin conocimiento de la compañía que desarrolla el programa.
La noticia — aunque no haya sido confirmada por Apple — es lo suficientemente grave como para dejar de utilizar Mail de forma inmediata y desactivarlo completamente como medida de precaución. Sobre todo cuando todavía no hay ningún parche de seguridad disponible.
ACTUALIZACIÓN: En una nota a un analista, Apple dice que está al tanto del problema y que lo va a solucionar una próxima actualización pero sin dar fechas. También ha desmentido que los usuarios estén en peligro, aunque la firma de seguridad ZecOps afirma que ya han habido víctimas al más alto nivel, como se puede leer más adelante.
Los investigadores de ZecOps afirman de que tienen constancia de multiples ataques en el mundo real. Al menos seis personas de muy alto nivel habrían sido víctimas del ataque, que ellos sepan. Aunque no nombran a estas personas por temas privacidad, ZecOps dice que su lista incluye ejecutivos de gran corporación americana que está en el Fortune 500 y otro ejecutivo de una compañía de telecomunicaciones japonesa.
Cómo te pueden atacar
El ataque se produciría de una manera muy sencilla y sin intervención alguna de los usuarios. Según ZecOps, “el ataque consiste en mandar un correo electrónico especialmente diseñado a la dirección de la víctima que le permite activar la vulnerabilidad en Mail de iOS en iOS 12 o iOS 13.” Una vez recibido, describen lo que es posible hacer y las consecuencias. La reproducimos íntegramente a continuación (las negritas son mías):
- La vulnerabilidad permite la capacidad de ejecución remota de código y permite que el atacante infecte al dispositivo enviando correos electrónicos que consumen una cantidad significativa de memoria,
- La vulnerabilidad no necesita un correo electrónico de gran tamaño: un correo normal que pueda consumir la RAM necesaria sería suficiente. Hay muchas maneras de conseguir el agotamiento de recursos en el sistema, incluyendo RTF, contenido multi-parte y otros métodos.
- Ambas vulnerabilidades han sido ejecutadas en el mundo real.
- La vulnerabilidad puede ser activada antes de que el correo sea descargado íntegramente, por lo que el contenido del correo no tiene por qué permanecer en el dispositivo.
- No descartamos la posibilidad de que los atacantes sean capaces de destruir el mensaje después del ataque [con lo que el usuario no se daría cuenta—JD]
- La vulnerabilidad se dispara sin ningún tipo de acción por parte del usuario (no hay que hacer click en ningún botón o link) y puede atacar cuando Mail de iOS 13 descarga un correo sin estar ni siquiera activo.
- En iOS 12 el ataque requiere pulsar en el correo electrónico. El ataque se dispara antes de mostrar el contenido. El usuario no notará nada anómalo en el correo en sí.
- En iOS 12 se puede también ejecutar sin pulsar el mail si el atacante controla el servidor de correo.
- Las vulnerabilidades están abiertas desde iOS 6 – (septimebre de 2012) – cuando salió el iPhone 5.
- Los primeros ataques registrados en internet son en iOS 11.2.2 y de enero de 2018.
La verdad es que da bastante miedo pero hay que decir que el método no ha sido confirmado todavía ni por Apple ni por terceras partes, incluyendo Maddie Stone y Jann Horn, del programa de ciberseguridad de Google Project Zero. Eso no quiere decir que el problema no exista, pero tampoco lo podemos descartar porque ZecOps parece que tiene bastante datos sobre el tema.
Por el momento, toca ejercer algo de cautela y desactivar Mail para acceder por internet y usar un programa de email de terceros.
