La compañía de investigaciones de seguridad ZecOps ha publidado hoy un artículo (vía Motherboard) en el que da a conocer dos vulnerabilidades graves encontradas en la App de Mail de iOS, que millones de usuarios en todo el mundo utilizan para leer y contestar sus emails.
Estas vulnerabilidades permiten a un atacante remoto enviar un email con un fichero adjunto que, al intentar ser identificado por la App de Mail, produce un incremento desmesurado en el consumo de memoria RAM, dando como resultado un cuelgue de la misma que permite ejecutar código arbitrariamente, que es lo que buscan la mayoría de los investigadores de seguridad. Ese código que se ejecuta permite romper la seguridad del sistema.
iOS sólo permite a las Apps funcionar dentro de su propio espacio de memoria, una técnica que se conoce como sandboxing, lo que significa que si bien la App de Mail se ve comprometida y el atacante puede leer, modificar o borrar emails que contenga la misma, no puede acceder al contenido de otras Apps. Según parece, esta vulnerabilidad ya ha sido utilizada para intentar conseguir correos electrónicos de personalidades de gobiernos o ejecutivos de alto rango de grandes empresas.
Por ahora, esta vulnerabilidad continúa existiendo en la App de Mail, aunque ya se sabe que Apple la ha parcheado en iOS 13.4.5, que está ahora mismo disponible en el portal de desarrolladores en su versión de pruebas (beta). Probablemente la publicación de la existencia de estas vulnerabilidades precipite la publicación de esta nueva versión de iOS, ya que se trata de problemas importantes que pueden causar filtraciones de información muy relevante… especialmente en la propia Apple, en donde todo el mundo utiliza iPhones para comunicarse.
Esta empresa de seguridad recomienda por cierto utilizar la App de correo de Gmail o cualquier otro cliente de email mientras no llegue iOS 13.4.5 con este parche. La verdad, es que no sabemos muy bien si eso es un buen consejo de seguridad, pero por ahora, estas son las únicas opciones que tenemos. Desde luego, por parte de ZecOps no han sido muy amables publicando esto antes de que Apple publique iOS 13.4.5, es probable que se deba a que no han recibido ninguna recompensa por el supuesto descubrimiento.
