La aplicación de correo electrónico predeterminada que viene preinstalada en millones de iPhones y iPads, es vulnerable a dos fallas críticas que los hackers están explotando en la naturaleza, desde al menos los últimos dos años, para espiar a víctimas de alto perfil.
Las fallas eventualmente permitirían que los piratas informáticos remotos tomen el control total en secreto sobre los dispositivos de Apple simplemente enviando un correo electrónico a cualquier persona objetivo con su cuenta de correo electrónico teniendo iniciada la sesión en la aplicación vulnerable.
Según los investigadores de seguridad cibernética en ZecOps, los errores en cuestión son fallas de ejecución remota de código que residen en la biblioteca MIME de la aplicación de correo de Apple, primero, debido a un error de escritura fuera de los límites, y después, por un problema de desbordamiento.
Aunque las dos vulnerabilidades se activan mientras se procesa el contenido de un correo electrónico, la segunda falla es más peligrosa porque puede explotarse con «clic cero», donde no se requiere interacción de los destinatarios objetivo.
Vulnerabilidades Zero Day de 8 años
Según los investigadores, ambos defectos existieron en distintos modelos de iPhone y iPad durante los últimos ocho años, desde el lanzamiento de iOS 6, y desafortunadamente, también afectan a la versión 13.4.1 de iOS.
Aún más preocupante, es que múltiples grupos de hackers están explotando dichas vulnerabilidades, durante al menos dos años, para atacar a personas de diversas industrias y organizaciones, MSSP de Arabia Saudita e Israel y periodistas en Europa.
«Con datos muy limitados, pudimos ver que al menos seis organizaciones se vieron afectadas por esta vulnerabilidad, y el alcance total del abuso de esta vulnerabilidad es enorme», dijeron los investigadores.
«Aunque ZecOps se abstiene de distribuir los ataques a un sector de amenaza específico, somos conscientes de que al menos una organización de ‘hackers’ está vendiendo exploits utilizando vulnerabilidades que aprovechan las direcciones de correo electrónico como el identificador principal».
Según los investigadores, podría ser difícil para los usuarios de Apple saber si fueron atacados como parte de los ataques cibernéticos porque resulta que los hackers eliminan el correo electrónico malicioso inmediatamente después de obtener acceso remoto al dispositivo de las víctimas.
«Cabe destacar que, aunque los datos confirman que los correos electrónicos de explotación fueron recibidos y procesados por los dispositivos iOS de las víctimas, faltaban los correos electrónicos correspondientes que deberían haberse recibido y almacenado en el servidor de correo. Por lo tanto, inferimos que estos correos electrónicos se eliminaron intencionalmente como parte de las medidas de limpieza de seguridad operativa de un ataque», dijeron los investigadores.
«Además de una desaceleración temporal de una aplicación de correo móvil, los usuarios no deben observar ningún otro comportamiento anómalo».
También es importante mencionar que, en caso de una explotación exitosa, la vulnerabilidad ejecuta código malicioso en el contexto de la aplicación MobileMail o maild, permitiendo así a los atacantes «filtrar, modificar y eliminar correos electrónicos».
Sin embargo, para tomar el control total del dispositivo de forma remota, los atacantes deben encadenarlo junto con una vulnerabilidad del núcleo separada.
Aunque ZecOps no ha mencionado ningún detalle sobre qué tipo de atacantes de malware han estado utilizando para atacar a los usuarios, si creía que los atacantes están explotando las fallas en combinación con otros problemas del núcleo para espiar con éxito a sus víctimas.
Los investigadores detectaron ataques en la naturaleza y descubrieron las fallas relacionadas hace casi dos meses y lo informaron al equipo de seguridad de Apple.
Hasta ahora, solo la versión beta 13.4.5 de iOS, lanzada la semana pasada, contiene parches de seguridad para ambas vulnerabilidades de día cero.
Para millones de usuarios de iPhone y iPad, pronto estará disponible un parche de software público con el lanzamiento de la siguiente actualización de iOS.
