Actualizaciones de iOS 7 dejan sin cifrar los archivos adjuntos de correo

Un fallo en iOS 7 produce que los archivos adjuntos en correos electrónicos enviados desde los terminales de Apple queden sin cifrar. Por el momento, la compañía no ha anunciado ningún parche.

La falla fue detectada por el investigador alemán Andreas Kurtz, perteneciente a la firma NESO Security Labs, quien cuenta personalmente la investigación en su blog. Mientras restauraba un iPhone 4 con iOS 7.1, creó la cuenta de correo IMAP y accedió a los archivos adjuntos, y se encontró con que cada uno de ellos era completamente accesible, ya que no utilizaban ningún tipo de cifrado o restricción.

Según relata Kurtz, luego de realizar la restauración y crear la cuenta de correo IMAP, apagó el dispositivo para poder acceder al sistema de archivos mediante técnicas como DFU (Device Firmware Update). Luego, montó la partición de datos del dispositivo, para poder navegar por la carpeta real de correos electrónicos, donde encontró todos los archivos adjuntos sin ningún tipo de cifrado; para corroborar que la protección de datos estaba habilitada, intento acceder al archivo index que teóricamente debería estar protegido. Como era de esperarse, este contaba con la protección, denegando el acceso.

A pesar de esta falla, según el sitio Ubergizmo no es posible acceder a los archivos de forma remota. Para hacerlo, es necesario emplear un método físico como lo hizo Kurtz, ya que al poner el equipo en modo DFU, este no posee conexión a internet. La finalidad de este modo que poseen los dispositivos de Apple es poder hacer una actualización de sistema operativo; también permite montar el sistema de archivos del equipo, pudiendo darle al atacante permisos de superusuario (root) y habilitando la navegación dentro del mismo, hasta llegar a la carpeta mencionada por el investigador.

Nuevamente parece ser que los investigadores han descubierto fallos a nivel físico, tal como se mostró hace unos meses cuando afirmaron que es posible instalar aplicaciones maliciosas mediante un cargador modificado.

Desde el Laboratorio de Investigación de ESET Latinoamérica queremos compartir con ustedes la recomendación del investigador alemán: a modo de solución temporal, deshabilitar la sincronización de correo, al menos donde el dispositivo cuente con un ROM de arranque explotable. Y también estar muy atentos a las nuevas actualizaciones de Apple para corregir esta falla.

Por último, no está de más recordarles que está disponible nuestra Guía de Seguridad para usuarios de Dispositivos Móviles.

Créditos imagen: ©Schill/Flickr
 

Autor , ESET

Síguenos