El lunes, ZecOps lanzó un informe sobre un par de vulnerabilidades con la aplicación Mail en iOS . Estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario en la aplicación Mail o en el proceso de maild que ayuda a la aplicación Mail detrás de escena. Sin embargo, lo más preocupante es el hecho de que incluso la versión más actual de iOS, 13.4.1, es vulnerable.

La forma en que funciona el ataque es que el actor de la amenaza envía un mensaje de correo electrónico diseñado para causar un desbordamiento del búfer en Mail (o maild). Un desbordamiento del búfer es un error en el código que permite que ocurra un ataque si el actor de la amenaza puede llenar un bloque de memoria más allá de su capacidad. Esencialmente, el atacante escribe datos basura que llenan la memoria, luego escribe código que sobrescribe el código existente en la memoria contigua, que luego es ejecutado por el proceso vulnerable.

Las malas noticias

Las vulnerabilidades reveladas por ZecOps permitirían a un atacante usar un desbordamiento de búfer para atacar un dispositivo iOS de forma remota, en dispositivos con iOS 6 a través de iOS 13.4.1. (ZecOps escribe que puede funcionar incluso en versiones anteriores de iOS, pero no lo probaron).

En iOS 12, el ataque no requiere nada más que ver un mensaje de correo electrónico malicioso en la aplicación Correo. No requeriría tocar un enlace o cualquier otro contenido dentro del mensaje. En iOS 13, la situación es peor, ya que el ataque puede llevarse a cabo contra el proceso maild en segundo plano, sin requerir ninguna interacción del usuario (es decir, es una «vulnerabilidad de clic cero»).

En el caso de infección en iOS 13, no habría signos significativos de infección, aparte de la lentitud temporal de la aplicación de correo. En algunos casos, la evidencia de un ataque fallido puede estar presente en forma de mensajes que no tienen contenido y no se pueden mostrar.

Los mensajes, que se muestran en la imagen de arriba del blog de ZecOps, pueden estar visibles por un tiempo limitado. Una vez que un ataque tiene éxito, el atacante presumiblemente usaría el acceso a la aplicación de Correo para eliminar estos mensajes, de modo que el usuario nunca los vea.

Las buenas noticias

Sé cómo suena esto. Este es un ataque que puede ser realizado por cualquier actor de amenazas que tenga su dirección de correo electrónico, en la última versión de iOS, y la infección ocurre en segundo plano sin requerir la acción del usuario. ¿Cómo hay buenas noticias aquí?

Afortunadamente, la hay. Las vulnerabilidades reveladas por ZecOps solo permiten un ataque de la aplicación de correo en sí. Usando esas vulnerabilidades, un atacante podría capturar sus mensajes de correo electrónico, así como modificar y eliminar mensajes. Presumiblemente, el atacante también podría realizar otras operaciones normales de correo, como enviar mensajes desde su dirección de correo electrónico, aunque esto no se mencionó. Si bien esto no es exactamente reconfortante, está lejos de comprometer todo el dispositivo.

Para lograr un compromiso total del dispositivo, el atacante necesitaría tener otra vulnerabilidad. Esto significa que si tiene la versión 13.4.1, requeriría una vulnerabilidad públicamente desconocida, lo que en su mayor parte restringiría dicho ataque a un adversario a nivel de estado-nación.

En otras palabras, alguien tendría que estar dispuesto a arriesgarse a quemar una vulnerabilidad de día cero, con un valor potencial de un millón de dólares o más, para infectar su teléfono. Esto significa que es poco probable que se infecte a menos que algún gobierno hostil u otro grupo poderoso esté interesado en espiarlo.

Si usted es, por ejemplo, un defensor de los derechos humanos que trabaja contra un régimen represivo, o un miembro de una minoría oprimida en ese país, puede ser un objetivo. Del mismo modo, si usted es un periodista que cubre tales noticias, puede ser un objetivo. También podría estar en riesgo si es una persona de negocios importante, como un CEO o CFO en una corporación importante, o si desempeña un papel importante en el gobierno. La persona promedio no estará en riesgo significativo de este tipo de ataque.

¿Por qué revelar ahora?

Es una práctica común como parte de la «divulgación responsable» evitar la mención pública de una vulnerabilidad importante hasta después de que se haya solucionado, o hasta que haya pasado el tiempo suficiente para creer que el proveedor de software o hardware no tiene la intención de corregir la vulnerabilidad en un de manera oportuna. La publicación de este tipo de información antes de que haya una solución disponible puede generar un mayor peligro para los usuarios, ya que los piratas informáticos que descubren que existe una vulnerabilidad pueden encontrarla por sí mismos.

Por supuesto, esto debe equilibrarse con el riesgo de ataques existentes que no se detectan. La divulgación puede ayudar a las personas que están bajo ataque activo a descubrir el problema, y ​​puede ayudar a las personas que aún no están bajo ataque a aprender cómo prevenir un ataque.

Con esto en mente, ZecOps mencionó tres razones por las que eligieron divulgar ahora:

  1. Dado que las vulnerabilidades reveladas no se pueden utilizar para comprometer todo el dispositivo sin vulnerabilidades adicionales, el riesgo de divulgación es menor.
  2. Apple ha lanzado una versión beta de iOS 13.4.5, que aborda el problema. Aunque una solución en beta no es exactamente lo mismo que una solución en una versión pública, un atacante podría analizar los cambios en la versión beta, lo que conduciría al descubrimiento de las vulnerabilidades. Esencialmente, las vulnerabilidades ya se han revelado a hackers maliciosos, pero el público no lo sabía.
  3. Al menos seis organizaciones estaban bajo ataque activo usando estas vulnerabilidades. (Las organizaciones no fueron nombradas).

Que deberias hacer

Primero, no se asuste. Como se mencionó, este no es un ataque generalizado contra todos los que usan un iPhone. En el pasado, se han utilizado otras vulnerabilidades de clic cero para enviar malware a los iPhones, pero ninguna se ha generalizado. Esto se debe a que cuanto más se generaliza un ataque de este tipo, es más probable que sea detectado y luego reparado por Apple.

Para proteger su inversión en vulnerabilidades de día cero de iOS de un millón de dólares, las organizaciones poderosas usan esas vulnerabilidades con moderación, solo contra individuos o grupos específicos. Por lo tanto, a menos que seas alguien que podría ser el objetivo de una nación hostil u otra organización poderosa, es probable que no estés en peligro.

Sin embargo, el riesgo aumenta después de la divulgación, ya que los piratas informáticos malintencionados pueden descubrir y utilizar la vulnerabilidad para atacar al correo, al menos. Por lo tanto, tampoco debe ignorar el riesgo.

Por mucho que me gustaría decir: «Instalar Malwarebytes, ejecutar un análisis y eliminar el malware», no puedo. A diferencia de macOS, la instalación de software antivirus no es posible en iOS, debido a las restricciones de Apple. Por lo tanto, no hay software que pueda escanear un iPhone o iPad en busca de malware.

Esto, más la falta de síntomas notables, significa que será difícil determinar si ha sido afectado. Como siempre con iOS, si tiene razones para creer que ha sido infectado, su única opción es restablecer su dispositivo al estado de fábrica y configurarlo desde cero como si fuera un dispositivo nuevo.

En cuanto a las precauciones para evitar la infección, hay un par de cosas que puede hacer. Una sería instalar el iOS 13.4.5 beta, que contiene una solución para el error. Sin embargo, esto no es algo fácil de hacer, ya que necesita una cuenta de desarrollador de Apple para descargar la versión beta. Además, el uso de una versión beta de iOS, que puede tener errores, no se recomienda para todos los usuarios.

La otra posible medida de seguridad sería deshabilitar Mail hasta que se publique públicamente la próxima versión de iOS. Para hacerlo, abra la aplicación Configuración y desplácese hacia abajo hasta Contraseña y cuentas. Toque eso, luego mire la lista de cuentas.

Puede tener varias cuentas, como se muestra arriba, o solo una. Para cualquier cuenta que diga «Correo» debajo, eso significa que está usando Correo para descargar el correo de esa cuenta. Toque en cada cuenta y, en la siguiente pantalla, busque la alternancia de Correo.

La imagen de arriba muestra que Mail está habilitado. Mueva el interruptor a apagado. Haga esto para cada una de sus cuentas y no vuelva a activar el correo hasta que haya actualizado a una versión de iOS más reciente que 13.4.1.