La firma de seguridad ZecOps ha dado a conocer un grave problema de seguridad en la aplicación de Correo electrónico que se usa de forma nativa en iOS.
Este hueco de seguridad se ha dado a conocer a Apple, quien en una futura actualización lanzará el parche. El problema es que este hueco existe desde la versión OS6, por lo que pudo haberse estado usando desde ese entonces.
Debido a que el iPhone es usado por grandes líderes de empresas, se cree que al menos un ejecutivo japonés de un operador telefónico y miembros de la lista Fortune 500 de Estados Unidos, en donde los hackers han cubierto sus pasos.
Las víctimas reciben correos personalizados en su bandeja de entrada, aprovechando al menos dos exploits relacionados con iOS zero-day, que tienen al menos ocho años de haberse lanzado.
A pesar de que existan dudas acerca de la veracidad de esta vulnerabilidad, debido a que no se requeriría que la víctima descargue un archivo o visite un sitio con malware, sino tan solo ejecutar un código remoto en el dispositivo de la persona y confirmar que la persona abra el correo desde la app, lo cual es muy elaborado.
Al replicar este proceso de forma exitosa, lo dieron a conocer a Apple, quien ya parchó la vulnerabilidad en la beta reciente de iOS, por lo que se espera que en las próximas semanas esté disponible para los usuarios finales.
Se recomienda bajar la versión beta o deshabilitar el correo y usar outlook o Gmail desde el dispositivo, mientras se lanza la versión final.
Con información de zecops.