Alertan de vulnerabilidad en equipos Apple que permite obtener contraseñas de iCloud

Ya puedes acceder a iCloud Drive desde Windows

A través de una ventana emergente igual a las que muestra el sistema de Apple regularmente, los atacantes pueden obtener las contraseñas de iCloud, teniendo acceso a correos e información privada del usuario.

 

Un investigador de seguridad dio a conocer una importante vulnerabilidad de iOS, el sistema operativo usado en iPhones y iPads, que permite que un atacante pueda acceder fácilmente a la contraseña de iCloud, dándole acceso a todo tipo de información privada.

La situación fue dada a conocer por Jan Soucek, investigador de Ernst and Young, quien publicó en GitHub la información y documentos relacionados a la vulnerabilidad (esta es una acción común en este tipo de revelaciones y apunta a que expertos en seguridad puedan desarrollar métodos para prevenir la efectividad del ataque).

En el mismo sitio, Soucek indica que reportó la falla a Apple en enero de este año, aunque no se ha liberado un parche que la solucione. Así, en la versión 8.3 de iOS, la vulnerabilidad sigue activa.

El experto detalla que el método funciona en base a la aplicación de correo de iOS que, al recibir un mensaje con un determinado código, muestra una ventana pop up como las que la plataforma muestra, por ejemplo, para pedir la contraseña antes de una compra en iTunes.

Soucek indica que el mensaje pide la contraseña del correo, enviando esa información a un servidor donde los datos ingresados quedan almacenados. Una vez entregados los datos, el sistema abre Safari automáticamente pero lo cierra rápidamente, enviando al usuario a la aplicación de correo. El experto publicó un video demostrando la situación, incluso enviando un correo de vuelta al usuario indicando "gracias por la contraseña, tonto".

Según The Register, Soucek asegura que esta vulnerabilidad es una mejor herramienta de phishing que el usar un formulario HTML dentro de un correo, ya que sólo afecta a usuarios de iOS y permite hacer cambios a campañas que ya están activas.