2 Fallas Zero-day en iPhone y iPad permiten hackear los dispositivos simplemente enviándoles correos
ccastrol
2 min read
Investigadores de seguridad de ZecOps descubrieron dos vulnerabilidades zero-day con la aplicación de correo electrónico predeterminada de los iPhone y iPad de Apple que permiten a los atacantes tomar control de los dispositivos simplemente enviándoles un correo electrónico.
La vulnerabilidad ha sido explotada por los atacantes desde al menos enero de 2018, dirigida a usuarios de alto perfil de iOS.
Afecta a todos los dispositivos por encima de iOS 6 y no se sabe si en versiones anteriores, ya que no están disponibles en el mercado. La vulnerabilidad también afecta a iOS 13.4.1
La vulnerabilidad se puede activar incluso antes de que se complete el correo electrónico descargado, por lo que el correo electrónico no reside en el dispositivo. En caso de que falle el ataque, se enviará al atacante un mensaje que dice «Este mensaje no tiene contenido».
Con iOS 13, la vulnerabilidad se puede activar sin la interacción del usuario, y en iOS 12 los usuarios deben hacer clic en el correo electrónico para ser pirateados.
La vulnerabilidad fue descubierta por los investigadores el 19 de febrero de 2020 y se ha corregido la actualización beta recién lanzada 13.4.5.
Puntos objetivos de la amenaza
- Todos los dispositivos iPhone y iPads con versiones iOS 13.4.1 y anteriores a ello, y que utilicen la aplicación de correo por defecto.
- Este puede ser un medio para que un atacante acceda a nuestra información personal, o a información de la compañía donde laboramos
Nuestras recomendaciones
- A todos los usuarios de iPhone y iPads que hacen uso del correo electrónico por defecto, se recomienda actualizar a la última versión disponible de iOS 13.4.5.
- En caso no le sea posible la actualización, se recomienda cambiar de aplicación de correo, y desactivar la cuenta de correo en la aplicación por defecto.
- Al equipo de Tecnología, se recomienda difundir esta alerta a los usuarios de su compañía, ya que este puede ser un medio por el cual se puede perpetrar un ataque a la organización
Referencias
Fuente 1: Two zero-day Flaws With Apple iPhones and iPads Let Attackers to Hack Devices Just by Sending Emails
Fuente 2: Apple Patches Two iOS Zero-Days Abused for Years
- Docker en Linux
- Noticias de Ciberseguridad, semana 5
- MailChimp sufre una brecha de seguridad y compromete información de clientes.
- Instalación GLPI 10.0.1 en Ubuntu Server 22.04
- Trabajando con directorios
