Un investigador de seguridad reportó un bug en iOS que le facilita a los atacantes la tarea de robar contraseñas de iCloud, al dejarlas expuestas, según reportó Ars Technica.
El ataque, como prueba de concepto, fue publicado en GitHub esta semana por Jan Soucek, identificando un bug en la aplicación de e-mail de la última versión de iOS (8.3). Esta contiene una falla en el código asociado a los mensajes entrantes, lo que le permite a un atacante cargar contenido HTML en forma remota, que reemplazaría el mensaje en el correo electrónico original.
De esta forma, puede enviarle al usuario un mensaje y, al abrirlo, aparecerá un pop-up en la pantalla pidiendo la contraseña de iCloud. En la demostración del investigador se mostró cómo los criminales podrían usar unas pocas líneas de código para insertar un formulario en un correo electrónico, el cual está hecho para que luzca idéntico a los pop-ups legítimos de iCloud. Si el receptor abre el e-mail e ingresa su información de login, el atacante puede robar sus credenciales de iCloud y usarlas con fines fraudulentos.
El siguiente video explica el funcionamiento del ataque:
Aunque los falsos pop-ups aparecen dentro del navegador, según ZD Net, se pueden ajustar de forma que se muestren una sola vez y no cada vez que se abre el mensaje, lo cual reduce la posibilidad de que las víctimas sospechen.
Esta vulnerabilidad es particularmente preocupante para los usuarios de iCloud si tenemos en cuenta la masiva filtración de fotos íntimas de famosas ocurrida en septiembre pasado, ocasionada también por un robo de credenciales. Una computadora asociada a esos ataques fue recientemente rastreada hasta Chicago por el FBI, aunque no se ha acusado a ningún sospechoso.
Además de ser cautelosos con los correos electrónicos entrantes, especialmente aquellos que solicitan contraseñas de iCloud, deberían protegerse con medidas adicionales, por ejemplo, siguiendo este tutorial para activar doble autenticación en iCloud.
Según Macworld, un vocero de Apple respondió diciendo que si bien no están al tanto de que alguien esté usando este ataque malicioso, la compañía está trabajando en una solución para la próxima actualización de software.
