Skip to main content

Un bug de iOS 8.3 permite robar las claves de iCloud

Un bug de iOS 8.3 permite robar las claves de iCloud.

11/06/2015 - 13:19

Un experto en seguridad que se hace llamar jansoucek en GitHub ha descubierto un grave bug en la app de correo nativa de Apple, Mail, que permite robar contraseñas de iCloud. El bug está activo en la última versión del sistema, iOS 8.3, tanto en el iPhone 5 como en el iPhone 6 y el iPad.

Según el hacker ético, desde la actualización iOS 8.3 la app Mail tiene un bug que permite insertar código HTML descargado de forma remota, dentro de un email. Insertar código es tan sencillo como añadir la etiqueta HTML <meta http-equiv=refresh> dentro del email.

Después se puede crear un código que clone exactamente la ventana de login de iCloud que utiliza iOS cuando vas a usar algún servicio en la nube:

Bug iOS robo claves iCloud

iOS 9 beta: Análisis, toma de contacto y primeras impresiones

El código se puede programar para que sólo aparezca una vez cuando abres el email, y no todas, evitando así las sospechas. El CEO de la empresa de seguridad Errata Security, Rob Graham, afirma que se trata de un bug serio porque iOS acostumbra a pedir las claves de iCloud en diferentes lugares, y algunos usuarios podrían creen que es una petición válida. Al introducir las claves serían enviadas al servidor remoto, y por tanto estarían en poder del supuesto hacker. El propio Rob Graham asegura que desde que se ha descubierto la vulnerabilidad, ya ha recibido un email fraudulento pidiéndole las claves con este sistema.

jansoucek ha publicado un vídeo demostrando cómo se aprovecha del bug para robar las claves de iCloud en iOS 8.3:

Asegura que avisó a Apple en enero pero no ha sido corregido, por eso ha decidido publicar el exploit en su web.

¿No sabes cómo detectar cuándo una petición de contraseña es segura en iOS? Existe un truco. Cuando recibas una petición de claves, pulsa el botón Home. Si es legitima no te dejará volver al escritorio hasta que introduzcas las claves. Si es un engaño, sí.

Por otro lado, nunca debes fiarte de las peticiones de contraseña que llegan a través del email.

[Fuente: Ars Technica]

Ver ahora: