Un nuevo bug ha sido descubierto debajo de la app nativa de iOS, Mail, que permite a los hackers producir un pop-up oficial de iCloud y presentarlo al usuario para que ingresen sus credenciales de login.
Jan Soucek, un especialista en seguridad y correos, junto a Ernst and Young, descubrieron el bug que toma ventaja de una vulnerabilidad dentro de la app Mail y que continua sin arreglarse y tiene la potencial para causar mucho daño a los millones de usuarios de iOS que regularmente interactúan con esta app.
El bug, que puede ser relativamente fácil de explotar por personas maliciosas, es capaz de reproducir un popup similar al de login de iCloud que puede atraer al usuario a ingresar el usuario y contraseña. La forma en la que se muestra esta ventana de acceso hace parecer y sentir al usuario que se trata del propio popup de Apple, esto da buena oportunidad para que el usuario crea que esta introduciendo sus credenciales en iCloud, sin saber que está enviando esta información realmente a usuarios maliciosos.
Un bug en la app Mail permite ejecutar contenido HTML remoto mientras se lee un email recibido
Esta alerta similar a la de iCloud es lograda mediante la explotación del bug en la app Mail, que permite a contenido HTML remoto ejecutarse mientras se lee el email recibido en el dispositivo. Debido a la naturaleza del error, la alerta que se presenta puede ser creada y nombrada exactamente similar a una oficial de Apple donde solicita las credenciales de iCloud y hacerla parecer muy familiar a la de iOS.
Soucek, quien descubrió este bug en Enero de este año, aclama que Apple no respondió cuando el notificó sobre la existencia de este problema, al poco tiempo de descubrirla. La cual sigue sin solucionarse hasta el día de hoy:
Durante el pasado Enero, yo tropecé con un bug en la aplicación cliente Mail de iOS, resultando en una tag HTML dentro de los mensajes que no estaba siendo ignorada. Este error permite la carga remota de contenido HTML, remplazando el contenido del correo original. Esta fue archivada bajo Radar #19479280 en Enero, pero la solución no se ha presentado en ninguna de las actualizaciones posteriores a iOS 8.1.2.
Debido a la forma en la que se presenta esta notificación vía remota a través de HTML hay poca oportunidad de un ataque más sofisticado. Sin embargo esto sigue presentando un gran riesgo para los usuarios, ya que podría generar una gran colección de cuentas iCloud que podrían ser usadas con otro fin.
Debes de tener cuidado con las notificaciones que soliciten este tipo de información, y así como vemos en Redmondpie, es mejor que no introduzcas tus credenciales en ninguna ventana de este tipo.
Dejamos un vídeo que explica un poco más como funciona este bug.