Falla en app de correos de iOS permite a atacantes robar datos

El error aplica para para iPhone y iPad, y fue descubierto por una compañía forense de seguridad, anunciando que la vulnerabilidad fue explotada en al menos seis ataques.

Desde Apple reconocieron que existe una vulnerabilidad en el software propio para el correo electrónico en iPhones y iPads, y que la compañía había desarrollado una solución, que se implementará en una próxima actualización.

Apple se negó a comentar sobre la investigación de Avraham (el investigador), que se publicó el miércoles, la cual sugiere que la falla podría desencadenarse desde lejos y que los ciberdelincuentes ya la habían explotado contra usuarios de alto perfil.

Además, el investigador dijo que encontró evidencia de que un programa malicioso estaba aprovechando la vulnerabilidad en el sistema operativo móvil iOS de Apple desde enero de 2018.

Para ejecutar el hack, Avraham dijo que a las víctimas se les enviaría un mensaje de correo electrónico aparentemente en blanco a través de la aplicación Mail forzando un bloqueo y reinicio. El accidente abrió la puerta para que los piratas informáticos robaran otros datos en el dispositivo, como fotos y detalles de contacto.

ZecOps, la empresa forense, afirma que la vulnerabilidad permitió a los piratas informáticos robar datos de manera remota de los iPhones, incluso si estaban ejecutando versiones recientes de iOS. Por sí mismo, la falla podría haber dado acceso a cualquier cosa a la que tuviera acceso la aplicación Mail, incluidos los mensajes.

La compañía forense además descubrió que la técnica de hackeo de la aplicación Mail se usó contra un cliente el año pasado. Avraham describió al cliente objetivo como una «compañía de tecnología Fortune 500 norteamericana». También encontraron evidencia de ataques relacionados contra empleados de otras cinco compañías en Japón, Alemania, Arabia Saudita e Israel.

Avraham basó la mayoría de sus conclusiones en datos de «informes de fallos», que se generan cuando los programas fallan a mitad de la tarea en un dispositivo. Luego pudo recrear una técnica que causó los accidentes controlados.

Patrick Wardle, experto en seguridad de Apple y ex investigador de la Agencia de Seguridad Nacional de EE. UU., Dijo que el descubrimiento «confirma lo que siempre ha sido un secreto bastante mal guardado: que los adversarios con recursos suficientes pueden infectar de forma remota y silenciosa dispositivos iOS completamente parcheados».

Debido a que Apple no estaba al tanto del error del software hasta hace poco, podría haber sido muy valioso para los gobiernos y contratistas que ofrecen servicios de piratería. Los programas de explotación que funcionan sin advertencia contra un teléfono actualizado pueden valer más de $1 millón de dólares.

Si bien Apple es visto en gran medida dentro de la industria de la seguridad cibernética como un alto estándar de seguridad digital, cualquier técnica de piratería exitosa contra el iPhone podría afectar a millones debido a la popularidad global del dispositivo. En 2019, Apple dijo que había alrededor de 900 millones de iPhones en uso activo.