Detectadas dos graves vulnerabilidades en iOS

iOS, Apple, iPhone, iPad
ESET

Normalmente los fallos de seguridad en dispositivos móviles se suelen asociar con el sistema operativo Android. Sin embargo, también existen vulnerabilidades en iOS, tal y como ha alertado la compañía de soluciones de ciberseguridad ESET. Y es que los investigadores de la empresa ZecOps han descubierto dos importantes agujeros de seguridad en iOS. El funcionamiento de este ataque consiste en el envío de correos electrónicos especialmente modificados a la bandeja de entrada de la víctima. En el caso de que estuviese usando la aplicación de correo predeterminada en iOS 12 o 13, se permitiría la ejecución de la vulnerabilidad. Por tanto, facilitaría que los atacantes pudieran robar, editar o borrar correos.

Catalogadas como Out-of-bounds Write (OOB Write) y Remote Heap Overflow, estas dos vulnerabilidades habrían sido usadas en varios ataques dirigidos contra objetivos variados, desde periodistas a ejecutivos de importantes empresas. De hecho, los agujeros de seguridad fueron descubiertos durante un análisis forense que estaban realizando los investigadores de ZecOps.

Ataque iOS

Dispositivos iOS vulnerables

Según los investigadores, todos los iPhones e iPads con sistema operativo iOS 6 o superior se ven afectados, incluyendo la versión más reciente 13.4.1. No se descarta que dispositivos con versiones más antiguas de iOS también se vean afectados, aunque los investigadores no lo corroboraron. La vulnerabilidad es especialmente grave en iOS 13, puesto que no se necesita la interacción con el usuario para comprometer el dispositivo. Únicamente se debe estar ejecutando en segundo plano la aplicación Mail. Además, los atacantes pueden realizar múltiples intentos de explotar esta vulnerabilidad. Todo ello sin que el usuario note nada extraño más allá de una ralentización temporal del dispositivo.

Posibles soluciones

ZecOps informó de este fallo a Apple antes de que se hiciera público. De hecho, la compañía incluyó el parche que lo soluciona en la versión iOS 13.4.5 beta 2 lanzada el pasado 15 de abril. Sin embargo, al tratarse de una versión preliminar, muy pocos dispositivos la tienen instalada.

Mientras tanto, los usuarios que estén esperando la actualización o no puedan actualizar su dispositivo deberán optar por cambiar su cliente de correo por otro que no sea vulnerable, como por ejemplo Gmail u Outlook.

Según explican los responsables de ESET, se trata de un problema importante. En particular, lo es para aquellas organizaciones que provean de dispositivos iOS a sus empleados y utilicen la aplicación de correo que viene por defecto. Muchas tendrán que decidir si esperan a aplicar el parche o cambian de gestor de correo. Claro que esto último puede suponer muchas horas de trabajo en una situación de crisis como la actual que dificulta este tipo de operaciones.