Una vulnerabilidad heap overflow presente en la aplicación Mail utilizada por los iPhone y las tabletas iPad hizo posible la extracción de datos no autorizada durante años, en cientos de millones de unidades. Así lo ha desvelado la consultora de seguridad ZecOps, que descubrió el bug investigando un "sofisticado ciberataque" lanzado contra uno de sus clientes hacia finales de 2019.
La agencia de noticias Reuters ha podido confirmar a través de un portavoz de Apple la existencia del bug. La firma de la manzana no ha querido hacer más declaraciones al margen de reconocer el fallo e indicar que el parche correspondiente será desplegado a través de una actualización.
Aunque el primer caso comprobado por ZecOps data de comienzos de 2018, las vulnerabilidades que hacen posible el robo de datos existen desde iOS 6 (2012). En iOS 12 es necesario abrir un correo malicioso en blanco para iniciar el ataque, pero en iOS 13 se trata de una operación 0-click; basta con tener la aplicación Mail funcionando de fondo.
Aparte del bloqueo y reinicio de la aplicación en iOS 12 y de una posible ralentización, no hay otros síntomas que puedan hacer sospechar al usuario. Una vez abierto el mensaje (de forma activa por el usuario en iOS 12 o pasiva mediante una actualización de la bandeja en iOS 13), el atacante puede entonces utilizar código remoto para leer, modificar y borrar los correos electrónicos del usuario. ZecOps sospecha que también sería posible obtener acceso completo al dispositivo mediante otra vulnerabilidad en el kernel.
De acuerdo con los hallazgos de ZecOps, la vulnerabilidad ha sido utilizada contra varias personas en Estados Unidos pertenecientes a una empresa en la lista Fortune 500, un ejecutivo de una operadora telefónica de Japón, un VIP alemán, proveedores de servicios de seguridad informática de Arabia Saudí e Israel y un periodista europeo. También se sospecha que fue atacado un ejecutivo de una empresa suiza no identificada.
Dado el perfil de las víctimas, se sospecha que el atacante sería al menos un país o un operador contratado por un país que habría comprado el exploit a través de un proveedor externo.
