Un fallo en la app Correo de Apple pone en peligro tu iCloud

0

iCloud de iOS en peligro por una vulnerabilidad

Apostaríamos a que la mayoría de las personas con un iPad o un iPhone utilizan la aplicación predefinida Correo, en lugar de utilizar una herramienta de terceros para su email.

Si eres uno de esos usuarios, podrías estar frente a un importante peligro, pues una vulnerabilidad sin corregir podría permitir a los hackers la oportunidad de engañarnos y así robarnos las contraseñas.

Jan Soucek, investigador de seguridad de Ernst & Young, ha decidido publicar -hace un par de días- los detalles del grave peligro encontrado en Correo de iOS.

Allá por Enero de 2015 me topé con un fallo en el cliente de correo de iOS, resultando en que la etiqueta <meta http equiv=refresh> no era ignorada para los emails. Esto provocaría la ejecución de HTML en remoto, reemplazando el contenido del mensaje original.

Aunque el Javascript no está permitido en la app Correo de iOS, bastaría una simple combinación de código HTML y CSS para construir un recopilador de contraseñas.

En el siguiente vídeo, Souzek nos demuestra los peligros de este tipo de ataques, que acabarían con nuestras contraseñas perdidas:

¿Cuando te solicita contraseñas tu email?

La respuesta debiera ser NUNCA, pero Souzek ha hallado la forma de que el email de iOS nos solicite -mediante un mensaje emergente- nuestra contraseña. Dicho mensaje era convincente en cuanto a aspecto y era capaz de sustraer los datos de la cuenta de iCloud.

Código erróneo en app Mail de iOS

Código erróneo en app Mail de iOS

El código desplegado en el ataque utiliza cookies para asegurarse de no mostrar el aviso de nuevo en el equipo de la víctima, pasando así más desapercibido.

Consecuencias

Si alguien nos roba nuestros accesos o contraseñas de iCloud…bueno, no necesitamos pensar mucho tiempo para darnos cuenta de que a ciertas famosas ya les ocurrió algo similar. Acabaron cediendo miles de fotos desnudas y otras comprometedoras.

Por otro lado, la vulnerabilidad podría llegar a ser explotada para recopilar incluso las contraseñas que nada tengan que ver con iCloud. El investigador ya ha puesto el problema en conocimiento de Apple (que no lo tenía documentado). Sin embargo, hasta el momento no se ha desplegado un parche.

Mientras el parche de la app llega, cuidaos mucho de los posibles popups o ventanas emergente que pudieran aparecer solicitando vuestra contraseña (así guardaréis la seguridad de iCloud). También podéis usar un cliente de correo de terceros.

Más información

Valora esta noticia

  • User Ratings (3 Votes)
    8.8
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR