La seguridad de los sistemas operativos de Apple vuelve a estar comprometida. Investigadores de seguridad han dado a conocer un fallo en la aplicación Mail de iOS y macOS que podría permitir a un hacker extraer nuestros correos electrónicos cifrados con los protocolos OpenPGP y S/MIME que han sido los afectados. Seguramente este error sea solventado en una próxima actualización de seguridad.
Un nuevo fallo en Mail deja al descubierto tus mensajes cifrados
Numerosas empresas y personas deciden utilizar un sistema de cifrado para poder enviar correos electrónicos que pueden contener información privada. Un agujero de seguridad ha comprometido estos mensajes de correo electrónico al abrirlos con Mail. En estos casos siempre podrás cambiar la app de Mail por otra en Mac.
Según relatan en AppleInsider, este fallo es posible gracias a la carga remota de imágenes que están alojadas en el servidor de manera externa. El atacante lo que hará es enviar a la víctima un mensaje alterado del correo electrónico original que si está cifrado. Una vez abierto por la víctima, este se descifrará accediendo el gestor de correo al contenido externo enviando al mismo tiempo la información sin cifrar al atacante.
Este fallo de seguridad está presente en el gestor de correo electrónico de Apple, tanto en iOS como en macOS y también en Mozilla Thunderbird. Según los expertos, esta vulnerabilidad puede ser parcheada con mucha facilidad y esperamos que en Apple se hayan puesto ya las pilas para poder corregir esta vulnerabilidad.
Otro método que puede utilizar el atacante, aunque es más complicado, sería modificar bloques de textos del mensaje de correo electrónico agregando etiquetas de imagen.
Si eres uno de estos usuarios que suele enviar mensajes de manera cifrada los investigadores han recomendado desactivar la presentación HTML para los mensajes entrantes en nuestro servicio de correo. Si por el contrario nuestro gestor no descifra los mensajes, se recomienda abrir el correo de una manera aislada evitando canales de filtración. Además, también se recomienda deshabilitar la carga automática de contenido remoto.
Mañana serán liberados por parte de estos expertos en seguridad todos los detalles de la vulnerabilidad, y esperamos que los ingenieros de Apple estén trabajando para una actualización de seguridad que pueda parchear este error.
Déjanos en la caja de comentarios qué opinas de este fallo y si tú normalmente cifras tus correos electrónicos.