Apple iOS, el sistema operativo que se ejecuta en iPhones, es vulnerable a múltiples vulnerabilidades de seguridad nuevas. Es preocupante observar que las fallas no necesitan la interacción del usuario. Según se informa, las vulnerabilidades de seguridad se pueden ejecutar por completo sin que el usuario tenga que realizar ninguna acción, hacer clic en cualquier enlace, descargar cualquier aplicación, etc. Por cierto, esta no es la primera vez que se descubren fallas tan graves dentro de iOS .
Hoy se revelaron dos nuevas vulnerabilidades de seguridad graves dentro del sistema operativo Apple iOS. Aparentemente, estas fallas en iOS permiten potencialmente a los atacantes obtener acceso a un dispositivo iPhone con iOS sin ninguna acción del usuario. Más importante aún, el ataque ejecutado de forma remota también puede permitir la ejecución remota de código (RCE), que podría incluir el control administrativo del iPhone de la víctima. Aunque aún no se ha corroborado oficialmente, las vulnerabilidades de seguridad recién descubiertas se están explotando en la naturaleza. Aparentemente, Apple está al tanto de las fallas de seguridad y se espera que lance una actualización para parchear las mismas.
Dispositivo Apple iOS 6 por encima de iPhone vulnerable a vulnerabilidades de seguridad recientemente descubiertas y explotadas activamente:
Las vulnerabilidades de seguridad recientemente descubiertas en el sistema operativo Apple iOS permiten a un atacante atacar de forma remota el dispositivo de la víctima. Además, las fallas permiten a los atacantes obtener acceso a un dispositivo iOS sin ninguna acción del usuario. La mayoría de los ataques requieren alguna acción del usuario, como hacer clic en un enlace, instalar alguna aplicación o abrir un documento para que comience el ataque. Sin embargo, en este caso, el atacante puede simplemente enviar correos electrónicos que consuman una cantidad significativa de memoria y obtengan capacidades de ejecución remota de código en el dispositivo.
Vulnerabilidades y ataques del día cero;
Incidentes de seguridad https://t.co/KAez4d9890
- Dr. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22 de abril de 2020
El serio vulnerabilidades de seguridad dentro de iOS sin interacción del usuario fueron descubiertos por la empresa de seguridad ZecOps. Los investigadores de la compañía afirman que los atacantes ya están utilizando estas vulnerabilidades en la naturaleza. Sin identificar los objetivos, los investigadores afirmaron que las fallas de seguridad recién descubiertas se han utilizado con éxito para atacar a las siguientes personas:
- Personas de una organización Fortune 500 en Norteamérica
- Un ejecutivo de una aerolínea en Japón
- Un VIP de Alemania
- MSSP de Arabia Saudita e Israel
- Un periodista en Europa
- Sospechoso: ejecutivo de una empresa suiza
iOS es un sistema operativo de código completamente cerrado diseñado y desarrollado por Apple. Está estrictamente controlado y regulado. El sistema operativo no es tan abierto como Google Android. La última versión de iOS es iOS 13. Sin embargo, todos los dispositivos que ejecutan iOS 6 y superior se ven afectados por estas fallas de seguridad. Los investigadores de seguridad que investigan las vulnerabilidades han destacado las formas en que los atacantes pueden comprometer un iPhone con iOS de Apple. En las versiones recientes de iOS, el ataque se puede llevar a cabo de las siguientes formas:
- Ataque en iOS 13: ataques sin asistencia (/ sin hacer clic) en iOS 13 cuando la aplicación de correo se abre en segundo plano
- Ataque a iOS 12: el ataque requiere un clic en el correo electrónico. El ataque se activará antes de procesar el contenido. El usuario no notará nada anómalo en el correo electrónico.
- Se pueden activar ataques no asistidos en iOS 12 (también conocido como clic cero) si el atacante controla el servidor de correo
Los investigadores descubren un par de vulnerabilidades de seguridad en la aplicación de correo de iOS, Apple está trabajando en un parche https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Phone Doctor (@Mr_iPhoneDoctor) 22 de abril de 2020
Apple revisará las vulnerabilidades de seguridad en la próxima actualización:
Los investigadores afirman que Apple es consciente de estas fallas de seguridad en iOS. Agregaron que se espera que Apple lance una actualización incremental para iOS que incluirá una solución que parcheará las vulnerabilidades. Sin embargo, hasta que Apple publique una actualización, hay una manera de evitar ser atacado o convertirse en víctima de los errores de seguridad.
La startup de ciberseguridad ZecOps descubrió dos vulnerabilidades de día cero que afectan a los dispositivos iPhone y iPad después del descubrimiento de una serie de ataques remotos en curso que se han dirigido a iO ... @Dormircomputadora #seguridad # tecnología #MiércolesSabiduría https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22 de abril de 2020
Los investigadores aconsejan evitar por completo la aplicación Apple Mail. Es la plataforma de correo electrónico diseñada, desarrollada y mantenida por Apple. Por cierto, la aplicación de correo admite cuentas de correo electrónico de terceros como Gmail, Outlook, etc. Por lo tanto, hasta que Apple publique una actualización para corregir los errores, los usuarios pueden confiar en la aplicación Microsoft Outlook u otros clientes de correo electrónico similares.
[Actualizar] Según los informes, Apple ha lanzado una actualización para parchear las dos vulnerabilidades de seguridad dentro de la aplicación Apple Mail.
Etiquetas manzanaApple parchea dos vulnerabilidades de seguridad que afectan la aplicación de correo en iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22 de abril de 2020
