Después de una investigación rutinaria de respuesta forense e incidentes digitales de iOS (DFIR), la empresa ZecOps encontró una serie de ataques remotos que se llevaron a cabo a través de la aplicación de correo predeterminada en iOS desde enero de 2018. ZecOps analizó estos ataques y descubrió una vulnerabilidad que afecta a Apple iPhones y iPads.
ZecOps detectó múltiples ataques dirigidos a usuarios empresariales y que fueron realizados durante un período prolongado de tiempo.
El alcance del ataque consiste en enviar un correo electrónico especialmente diseñado al buzón de correo de la víctima, lo que le permite activar la vulnerabilidad en el contexto de la aplicación iOS MobileMail en iOS 12 o maild en iOS 13.
Esta grave vulnerabilidad de Heap Overflow en iOS, presente en todas las versiones desde la 6 (septiembre de 2012), permite ejecución de código con solo enviar un email. Está vulnerabilidad estaría siendo aprovechada in-the-wild por atacantes. El proceso es simple:
- La vulnerabilidad permite jecución remota de código y permite a un atacante infectar remotamente un dispositivo mediante el envío de correos electrónicos que consumen una cantidad significativa de memoria.
- La vulnerabilidad no requiere necesariamente un correo electrónico grande: un correo electrónico normal que pueda consumir RAM sería suficiente. Hay muchas maneras de lograr tal agotamiento de recursos, incluidos RTF, múltiples partes y otros métodos.
- La vulnerabilidad se puede activar antes de descargar todo el correo electrónico, por lo tanto, el contenido del correo electrónico no permanecerá necesariamente en el dispositivo.
- En iOS 13 el ataque puede ser noasistido (cero clic) cuando la aplicación de correo se abre en segundo plano.
- En iOS 12, el ataque requiere un clic en el correo electrónico. El ataque se activará antes de mostrar el contenido. El usuario no notará nada anómalo en el correo electrónico.
- Los ataques no asistidos en iOS 12 se pueden activar si el atacante controla el servidor de correo.
- Las vulnerabilidades existen al menos desde iOS 6, cuando se lanzó el iPhone 5 en septiembre de 2012.
Se ha dado a conocer también de forma independiente que un grupo de hacking chino (Evil Eye) con bastante experiencia atacando iOS estaba aprovechando una serie de exploits para implantar spyware en iOS, al que han llamado Insomnia. Atacaban fallos ya corregidos en Webkit a través de Safari con técnicas de watering-hole.