Dos graves vulnerabilidades permiten comprometer la seguridad de dispositivos iOS con tan solo enviar un email

La seguridad de los dispositivos móviles es algo que lleva preocupándonos desde hace bastante tiempo. Normalmente, cuando hablamos de amenazas dirigidas a este tipo de dispositivos nos solemos centrar en aquellos que utilizan Android como sistema operativo, pero no debemos olvidar que el sistema iOS de Apple también está en el punto de mira de los atacantes, tal y como hemos visto en numerosas ocasiones.

Descubiertas dos graves vulnerabilidades

En el día de ayer, 22 de abril, se hizo pública la noticia de que investigadores de la empresa ZecOps habían descubierto dos importantes agujeros de seguridad que habrían sido aprovechados por atacantes desde hace varios años para comprometer la seguridad de dispositivos iOS como iPhones e iPads.

El funcionamiento de este ataque consiste en el envío de correos electrónicos especialmente modificados a la bandeja de entrada de la víctima. En el caso de que esta estuviese usando la aplicación de correo predeterminada en iOS 12 o 13, se permitiría la ejecución de la vulnerabilidad y, por tanto, se permitiría a los atacantes robar, editar o borrar correos.

Estas dos vulnerabilidades, catalogadas como Out-of-bounds Write (OOB Write) y Remote Heap Overflow, habrían sido usadas en varios ataques dirigidos contra objetivos variados, desde periodistas a ejecutivos de importantes empresas. De hecho, los agujeros de seguridad fueron descubiertos durante un análisis forense que estaban realizando investigadores de ZecOps.

Dispositivos iOS vulnerables

Según los investigadores, todos los iPhones e iPads con sistema operativo iOS 6 o superior se ven afectados, incluyendo la versión más reciente 13.4.1. No se descarta que dispositivos con versiones más antiguas de iOS también se vean afectados, aunque los investigadores no lo corroboraron.

La vulnerabilidad es especialmente grave en iOS 13, puesto que no se necesita la interacción con el usuario para comprometer el dispositivo, tan solo que la aplicación Mail se esté ejecutando en segundo plano. Por su parte, en iOS 12 se necesita que la víctima pulse sobre el correo malicioso, activándose el ataque antes de que se muestre el contenido del mensaje.

Además, los atacantes pueden realizar múltiples intentos de explotar esta vulnerabilidad, sin que el usuario note nada extraño más allá de una ralentización temporal del dispositivo en iOS 13 o que la aplicación de correo se detenga abruptamente en iOS 12.

Posibles soluciones

Al estar Apple informada de este fallo antes de que se hiciera público, el parche que soluciona estas graves vulnerabilidades ya se incluye en la versión de iOS 13.4.5 beta 2 que fue lanzada el pasado 15 de abril. Sin embargo, al tratarse de una versión preliminar, muy pocos dispositivos la tienen instalada y es de esperar que en los próximos días se lance una actualización para todos los dispositivos con soporte.

Mientras tanto, los usuarios que estén esperando la actualización o no puedan actualizar su dispositivo porque este ya no está soportado por Apple deberán optar por cambiar su cliente de correo por otro que no sea vulnerable, como por ejemplo Gmail u Outlook.

Se trata de un problema importante, especialmente para aquellas empresas y organizaciones que provean de dispositivos iOS a sus empleados y utilicen la aplicación de correo que viene por defecto para gestionar los emails. Muchas tendrán que decidir si esperan a aplicar el parche o cambian de gestor de correo, algo que puede suponer muchas horas de trabajo en una situación de crisis sanitaria y confinamiento que dificulta este tipo de operaciones, especialmente porque muchos de los usuarios de los dispositivos vulnerables se encontrarán en su casa y no será tan fácil hacer el cambio.

Conclusión

Se demuestra una vez más que no existe el sistema operativo invulnerable. Apple sigue recibiendo menos ataques que Android, eso es cierto, pero también es cierto que el número de incidentes ha ido aumentando con el tiempo y los usuarios de estos dispositivos deben considerar aplicar medidas de seguridad efectivas y no confiar ciegamente en el marketing de la empresa de la manzana, ya que esto les podría acarrear serios problemas de seguridad.

Josep Albors

Importantes filtraciones de datos siguen produciéndose durante las últimas semanas