Dos fallos de iOS comprometen la seguridad de iPhones e iPads
- Vulnerabilidades
Estas dos vulnerabilidades, catalogadas como Out-of-bounds Write (OOB Write) y Remote Heap Overflow, habrían sido usadas en ataques dirigidos contra objetivos variados. El parche que corrige estas vulnerabilidades ya se incluye en la versión de iOS 13.4.5 beta 2.
Aunque la gran mayoría de amenazas contra dispositivos móviles se dirigen a aquellos que utilizan Android como sistema operativo, el sistema iOS de Apple también está en el punto de mira de los atacantes. De hecho, investigadores de la empresa ZecOps han descubierto dos importantes agujeros de seguridad que habrían sido aprovechados por atacantes desde hace varios años para comprometer la seguridad de dispositivos iOS como iPhones e iPads.
|
Recomendados: WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro |
Estas dos vulnerabilidades, catalogadas como Out-of-bounds Write (OOB Write) y Remote Heap Overflow, habrían sido usadas en varios ataques dirigidos contra objetivos variados, desde periodistas a ejecutivos de importantes empresas. Según los investigadores, todos los iPhones e iPads con sistema operativo iOS 6 o superior se ven afectados, incluyendo la versión más reciente 13.4.1. No se descarta que dispositivos con versiones más antiguas de iOS también se vean afectados
Como señala ESET, el funcionamiento de este ataque consiste en el envío de correos electrónicos especialmente modificados a la bandeja de entrada de la víctima. En el caso de que la víctima estuviese usando la aplicación de correo predeterminada en iOS 12 o 13, se permitiría la ejecución de la vulnerabilidad y, por tanto, se permitiría a los atacantes robar, editar o borrar correos.
La vulnerabilidad es especialmente grave en iOS 13, puesto que no se necesita la interacción con el usuario para comprometer el dispositivo, tan solo que la aplicación Mail se esté ejecutando en segundo plano. Por su parte, en iOS 12 se necesita que la víctima pulse sobre el correo malicioso, activándose el ataque antes de que se muestre el contenido del mensaje. Los atacantes pueden realizar múltiples intentos de explotar esta vulnerabilidad, sin que el usuario note nada más allá de una ralentización temporal del dispositivo en iOS 13 o que la aplicación de correo se detenga abruptamente en iOS 12.
Al estar informada de este fallo antes de que se hiciera público, Apple incluye el parche que soluciona estas graves vulnerabilidades se en la versión de iOS 13.4.5 beta 2 que fue lanzada el pasado 15 de abril. Sin embargo, al tratarse de una versión preliminar, muy pocos dispositivos la tienen instalada y es de esperar que en los próximos días se lance una actualización para todos los dispositivos con soporte.
