Si usas habitualmente la aplicación Mail de iOS en tu iPhone o iPad para leer el correo debes tener cuidado, ya que se ha descubierto un fallo de seguridad que permite a los hackers hacerse con tus credenciales del ID de Apple. Al abrir un correo electrónico salta una ventana emergente pidiendo que vuelvas a iniciar sesión en iCloud, algo que no debes hacer si no quieres que te roben tu ID de Apple.
No es la primera vez que se descubren bugs en iOS 8. Sin ir más lejos, a principios de año se descubrió un fallo en la aplicación de Calendario que causaba fallos con la zona horaria, pero sin duda el problema en Mail es mucho más grave.
El investigador de seguridad Ene Soucek ha sido el encargado de descubrir ese error en la aplicación Mail de iOS. Este permitía a un atacante ejecutar un código HTML de forma remota cuando se abre un correo electrónico para lanzar una ventana emergente en la que se pide a los usuarios volver a introducir sus credenciales del ID de Apple.
Este bug en Mail permite a los hackers hacerse con los datos del ID de Apple
Este código HTML imitaría perfectamente a la ventana de login de iCloud, por lo que los usuarios no desconfiarían para nada a la hora de poner los datos. Por otro lado, no es raro que un dispositivo iOS pida a los usuarios conectarse o identificarse de nuevo.
Mientras que Soucek ha utilizado una ventana emergente pidiendo el login de iCloud para el ejemplo, el mismo código se podría utilizar para imitar a cualquier sitio web o servicio. El investigador comenta que la primera vez que descubrió este fallo fue en iOS 8.1.1, momento en el que formuló un informe de error con Apple.
En ese momento, Soucek guardó los detalles sobre el bug para sí mismo con el fin de dar tiempo a Apple para corregir este error. Ahora, después de cinco meses la compañía no ha hecho nada al respecto, por lo que el investigador decidió hacer público ese código para llamar la atención de Apple y de los usuarios sobre el riesgo que supone este fallo presente en la aplicación Mail de iOS.
“La demanda fue presentada bajo el Radar #19479280 el pasado enero, pero la solución no llegó ni en iOS 8.1.2 ni en ninguna de las actualizaciones siguientes. Por lo tanto, he decidido publicar la prueba de este concepto de código aquí”.
Se espera que Apple solucione este bug de Mail en futuras actualizaciones
Tal y como comentan en 9to5Mac, Soucek ha subido la prueba de cómo funciona este código que hace que un hacker pueda hacerse con los credenciales del ID de Apple de un usuario a través de la app Mail de iOS en GitHub. Si bien es cierto que esta demostración sirve para alertar a la gente de la existencia de este fallo en Mail y de meter presión a Apple para que lo solucione en futuras actualizaciones, también pone en bandeja el código para que cualquiera lo use.
Así que lo único que hay que hacer hasta que Apple ponga solución a este problema en la app Mail es tener cuidado y no hacer caso a ningún elemento emergente que te pida iniciar sesión de iCloud o cualquier otra cosa. Esperamos que la compañía se ponga manos a la obra y lo solucione pronto.
Fuente:https://www.ipadizate.es/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
