¡Cuidado con los usuarios de Apple!.
La aplicación de correo predeterminada preinstalada en millones de iPhones y iPads se ha encontrado vulnerable a dos fallas críticas que los atacantes están explotando en la naturaleza, al menos, desde los últimos dos años para espiar a víctimas de alto perfil.
Las fallas eventualmente podrían permitir que los piratas informáticos remotos tomen el control total en secreto sobre los dispositivos de Apple simplemente enviando un correo electrónico a cualquier persona objetivo con su cuenta de correo electrónico iniciada en la aplicación vulnerable.
Según los investigadores de ciberseguridad de ZecOps, los errores en cuestión son fallas de ejecución remota de código que residen en la biblioteca MIME de la aplicación de correo de Apple; primero, debido a un error de escritura fuera de los límites y, en segundo lugar, es un problema de desbordamiento del montón.
Aunque ambas fallas se activan mientras se procesa el contenido de un correo electrónico, la segunda falla es más peligrosa porque puede explotarse con ‘clic cero’, donde no se requiere interacción de los destinatarios objetivo.
Apple Zero-Days de 8 años de edad explotado en la naturaleza
Según los investigadores, ambos defectos existieron en varios modelos de iPhone y iPad durante los últimos 8 años desde el lanzamiento de iOS 6 y, desafortunadamente, también afectan el iOS 13.4.1 actual sin parche aún sin actualizaciones disponibles para las versiones normales.
Lo que es más preocupante es que múltiples grupos de atacantes ya están explotando estos defectos, durante al menos 2 años como días cero en la naturaleza, para atacar a individuos de diversas industrias y organizaciones, MSSP de Arabia Saudita e Israel y periodistas en Europa.
«Con datos muy limitados, pudimos ver que al menos seis organizaciones se vieron afectadas por esta vulnerabilidad, y el alcance total del abuso de esta vulnerabilidad es enorme», dijeron los investigadores.
«Si bien ZecOps se abstiene de atribuir estos ataques a un actor de amenaza específico, somos conscientes de que al menos una organización de ‘piratas informáticos’ está vendiendo exploits utilizando vulnerabilidades que aprovechan las direcciones de correo electrónico como el identificador principal».
Según los investigadores, podría ser difícil para los usuarios de Apple saber si fueron atacados como parte de estos ciberataques porque resulta que los atacantes eliminan el correo electrónico malicioso inmediatamente después de obtener acceso remoto al dispositivo de las víctimas.
«Cabe destacar que, aunque los datos confirman que los correos electrónicos de explotación fueron recibidos y procesados por los dispositivos iOS de las víctimas, faltaban los correos electrónicos correspondientes que deberían haberse recibido y almacenado en el servidor de correo. Por lo tanto, inferimos que estos correos electrónicos se eliminaron intencionalmente como parte de las medidas de limpieza de seguridad operativa de un ataque «, dijeron los investigadores.
«Además de una desaceleración temporal de una aplicación de correo móvil, los usuarios no deben observar ningún otro comportamiento anómalo».
Cabe señalar que, en una explotación exitosa, la vulnerabilidad ejecuta código malicioso en el contexto de la aplicación MobileMail o maild, permitiendo a los atacantes «filtrar, modificar y eliminar correos electrónicos».
Sin embargo, para tomar el control total del dispositivo de forma remota, los atacantes deben encadenarlo junto con una vulnerabilidad del núcleo separada.
Aunque ZecOps no ha mencionado ningún detalle sobre qué tipo de atacantes de malware han estado utilizando para atacar a los usuarios, sí creía que los atacantes están explotando las fallas en combinación con otros problemas del núcleo para espiar con éxito a sus víctimas.
¡Tener cuidado! Aún no hay parche disponible
Los investigadores detectaron ataques en la naturaleza y descubrieron las fallas relacionadas hace casi dos meses y lo informaron al equipo de seguridad de Apple.
Al momento de escribir este artículo, solo la versión beta 13.4.5 de iOS, lanzada la semana pasada, contiene parches de seguridad para ambas vulnerabilidades de día cero.
Para millones de usuarios de iPhone y iPad, pronto estará disponible un parche de software público con el lanzamiento de la próxima actualización de iOS.
Mientras tanto, se recomienda encarecidamente a los usuarios de Apple que no utilicen la aplicación de correo integrada de sus teléfonos inteligentes; en su lugar, cambie temporalmente a las aplicaciones de Outlook o Gmail.
En una noticia separada, informamos hoy sobre otra campaña de piratería de iPhone en la naturaleza donde los piratas informáticos chinos han sido capturados apuntando a musulmanes uigures con explotar cadenas de iOS y aplicaciones de software espía.
