La aplicación de correo predeterminada preinstalada en millones de iPhones y iPads se ha encontrado vulnerable a dos fallos críticos que los atacantes están explotando en estado salvaje, al menos, desde los dos últimos años para espiar a víctimas de alto perfil.
Las fallas podrían eventualmente permitir a los hackers remotos tomar en secreto el control completo de los dispositivos de Apple con sólo enviar un correo electrónico a cualquier persona con su cuenta de correo electrónico registrada en la aplicación vulnerable.
Según los investigadores de seguridad cibernética de ZecOps, los errores en cuestión son fallas de ejecución de código remoto que residen en la biblioteca MIME de la aplicación de correo de Apple – en primer lugar, debido a un error de escritura fuera de límites y en segundo lugar, es un problema de desbordamiento de montones.
Aunque ambos fallos se activan mientras se procesa el contenido de un correo electrónico, el segundo fallo es más peligroso porque puede ser explotado con un «clic cero», en el que no se requiere ninguna interacción por parte de los destinatarios.
Una vulnerabilidad con 8 años de edad
Según los investigadores, ambas fallas existieron en varios modelos de iPhone y iPad durante los últimos 8 años desde el lanzamiento del iOS 6 y, desafortunadamente, también afectan al actual iOS 13.4.1, sin ningún parche disponible todavía para las versiones regulares.
Lo que es más preocupante es que múltiples grupos de atacantes ya están explotando estas fallas -por lo menos durante 2 años como días cero en el desierto- para atacar a individuos de varias industrias y organizaciones, MSSPs de Arabia Saudita e Israel, y periodistas en Europa.
«Con datos muy limitados, pudimos ver que al menos seis organizaciones fueron impactadas por esta vulnerabilidad – y el alcance total del abuso de esta vulnerabilidad es enorme», dijeron los investigadores.
«Aunque ZecOps se abstiene de atribuir estos ataques a un actor de amenaza específico, somos conscientes de que al menos una organización de ‘hackers-for-hire’ está vendiendo exploits usando vulnerabilidades que aprovechan las direcciones de correo electrónico como principal identificador».
Según los investigadores, podría ser difícil para los usuarios de Apple saber si fueron blanco de estos ciberataques porque resulta que los atacantes eliminan el correo electrónico malicioso inmediatamente después de obtener acceso remoto al dispositivo de las víctimas.
«Cabe destacar que, aunque los datos confirman que los correos electrónicos de explotación fueron recibidos y procesados por los dispositivos iOS de las víctimas, faltaban los correos electrónicos correspondientes que deberían haber sido recibidos y almacenados en el servidor de correo. Por lo tanto, deducimos que estos correos electrónicos fueron eliminados intencionadamente como parte de las medidas de limpieza de seguridad operacional de un ataque», dijeron los investigadores.
«Además de la ralentización temporal de una aplicación de correo móvil, los usuarios no deben observar ningún otro comportamiento anómalo».
Cabe señalar que, en una explotación exitosa, la vulnerabilidad ejecuta código malicioso en el contexto de la aplicación de MobileMail o de correo, permitiendo a los atacantes «filtrar, modificar y eliminar correos electrónicos».
Sin embargo, para tomar el control total del dispositivo de forma remota, los atacantes necesitan encadenarlo junto con una vulnerabilidad de kernel separada.
Aunque ZecOps no ha mencionado ningún detalle sobre el tipo de malware que los atacantes han estado utilizando para atacar a los usuarios, sí cree que los atacantes están explotando las fallas en combinación con otros problemas del kernel para espiar con éxito a sus víctimas.
No hay ningún parche disponible todavía
Los investigadores descubrieron los ataques en el bosque y los defectos relacionados hace casi dos meses y lo reportaron al equipo de seguridad de Apple.
En el momento de escribir este artículo, sólo la versión beta 13.4.5 de iOS, publicada la semana pasada, contiene parches de seguridad para ambas vulnerabilidades de día cero.
Para millones de usuarios de iPhone y iPad, un parche de software público estará pronto disponible con el lanzamiento de la próxima actualización de iOS.
Mientras tanto, se recomienda a los usuarios de Apple que no usen la aplicación de correo integrada en sus teléfonos inteligentes; en su lugar, cambien temporalmente a las aplicaciones de Outlook o Gmail.
(damian.fossi.es)
