Un fallo en la app Correo de Apple pone en peligro tu iCloud

iCloud de iOS en peligro por una vulnerabilidad

Apostaríamos a que la mayoría de las personas con un iPad o un iPhone utilizan la aplicación predefinida Correo, en lugar de utilizar una herramienta de terceros para su email.

Si eres uno de esos usuarios, podrías estar frente a un importante peligro, pues una vulnerabilidad sin corregir podría permitir a los hackers la oportunidad de engañarnos y así robarnos las contraseñas.

Jan Soucek, investigador de seguridad de Ernst & Young, ha decidido publicar -hace un par de días- los detalles del grave peligro encontrado en Correo de iOS.

Allá por Enero de 2015 me topé con un fallo en el cliente de correo de iOS, resultando en que la etiqueta <meta http equiv=refresh> no era ignorada para los emails. Esto provocaría la ejecución de HTML en remoto, reemplazando el contenido del mensaje original.

Aunque el Javascript no está permitido en la app Correo de iOS, bastaría una simple combinación de código HTML y CSS para construir un recopilador de contraseñas.

En el siguiente vídeo, Souzek nos demuestra los peligros de este tipo de ataques, que acabarían con nuestras contraseñas perdidas:

¿Cuando te solicita contraseñas tu email?

La respuesta debiera ser NUNCA, pero Souzek ha hallado la forma de que el email de iOS nos solicite -mediante un mensaje emergente- nuestra contraseña. Dicho mensaje era convincente en cuanto a aspecto y era capaz de sustraer los datos de la cuenta de iCloud.

Código erróneo en app Mail de iOS
Código erróneo en app Mail de iOS

El código desplegado en el ataque utiliza cookies para asegurarse de no mostrar el aviso de nuevo en el equipo de la víctima, pasando así más desapercibido.

Consecuencias

Si alguien nos roba nuestros accesos o contraseñas de iCloud…bueno, no necesitamos pensar mucho tiempo para darnos cuenta de que a ciertas famosas ya les ocurrió algo similar. Acabaron cediendo miles de fotos desnudas y otras comprometedoras.

[pullquote]Souzek ha decidido publicar un código totalmente funcional en Github, poniendo en manos de los maleantes la herramienta necesaria para intentarlo. Lo suyo habría sido demostrarlo en los medios, pero sin filtrarlo al resto del público.[/pullquote]

Por otro lado, la vulnerabilidad podría llegar a ser explotada para recopilar incluso las contraseñas que nada tengan que ver con iCloud. El investigador ya ha puesto el problema en conocimiento de Apple (que no lo tenía documentado). Sin embargo, hasta el momento no se ha desplegado un parche.

Mientras el parche de la app llega, cuidaos mucho de los posibles popups o ventanas emergente que pudieran aparecer solicitando vuestra contraseña (así guardaréis la seguridad de iCloud). También podéis usar un cliente de correo de terceros.

Más información

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.