Investigadores de seguridad de ZecOps descubrieron dos vulnerabilidades zero-day con la aplicación de correo electrónico predeterminada de los iPhone y iPad de Apple que permiten a los atacantes tomar control de los dispositivos simplemente enviándoles un correo electrónico.

La vulnerabilidad ha sido explotada por los atacantes desde al menos enero de 2018, dirigida a usuarios de alto perfil de iOS.

Afecta a todos los dispositivos por encima de iOS 6 y no se sabe si en versiones anteriores, ya que no están disponibles en el mercado. La vulnerabilidad también afecta a iOS 13.4.1

La vulnerabilidad se puede activar incluso antes de que se complete el correo electrónico descargado, por lo que el correo electrónico no reside en el dispositivo. En caso de que falle el ataque, se enviará al atacante un mensaje que dice “Este mensaje no tiene contenido”.

Con iOS 13, la vulnerabilidad se puede activar sin la interacción del usuario, y en iOS 12 los usuarios deben hacer clic en el correo electrónico para ser pirateados.

La vulnerabilidad fue descubierta por los investigadores el 19 de febrero de 2020 y se ha corregido la actualización beta recién lanzada 13.4.5.

Puntos objetivos de la amenaza

  • Todos los dispositivos iPhone y iPads con versiones iOS 13.4.1 y anteriores a ello, y que utilicen la aplicación de correo por defecto.
  • Este puede ser un medio para que un atacante acceda a  nuestra información personal, o a información de la compañía donde laboramos

Nuestras recomendaciones

  • A todos los usuarios de iPhone y iPads que hacen uso del correo electrónico por defecto, se recomienda actualizar a la última versión disponible de iOS 13.4.5.
  • En caso no le sea posible la actualización, se recomienda cambiar de aplicación de correo, y desactivar la cuenta de correo en la aplicación por defecto.
  • Al equipo de Tecnología, se recomienda difundir esta alerta a los usuarios de su compañía, ya que este puede ser un medio por el cual se puede perpetrar un ataque a la organización

Referencias

Fuente 1:   Two zero-day Flaws With Apple iPhones and iPads Let Attackers to Hack Devices Just by Sending Emails

Fuente 2:   Apple Patches Two iOS Zero-Days Abused for Years

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .