Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Falla de seguridad permite la ejecución de código no deseado en la aplicación Mailbox
Un ingeniero italiano en computación reportó haber descubierto que la popular aplicación Mailbox de iOS, la cual fue adquirida por Dropbox a principios de este año, presenta una vulnerabilidad potencialmente seria que permite que correos electrónicos maliciosos causen todo tipo de destrucciones en un dispositivo. Macworld confirmó que la falla ocurre en la última versión de Mailbox (1.6.2) actualmente disponible en la App Store.
Según Michele Spagnuolo, el fallo permite que código JavaScript sea inyectado y ejecutado desde el interior de un mensaje HTML; porque Mailbox no filtra los datos almacenados en el mensaje que se muestra, el código se puede ejecutar sin la intervención del usuario en absoluto. Spagnuolo muestra en un video corto, que con tan solo abrir un mensaje de correo electrónico puede hacer que una aplicación diferente se ponga en marcha, y podría permitir a terceras partes frustrar “técnicas avanzadas de spam, seguimiento de las acciones del usuario, secuestro del usuario con solo abrir un correo electrónico, y, […] las cosas son potencialmente mucho peor" en los usuarios desprevenidos.
La raíz del problema probablemente sea el hecho de que Mailbox utiliza un buzón especial de control proporcionado por Apple, llamado webview, para reproducir mensajes HTML. Ya que webviews es esencialmente una versión autónoma de Safari, también heredan todas las capacidades de tu navegador, incluyendo el apoyo para la ejecución de código JavaScript.
La buena noticia es que el problema probablemente no es tan malo como parece. Los mismos problemas que afectan a Spagnuolo son propios de Safari, y fueron diseñados por Apple para proporcionar un cierto nivel de interoperabilidad entre las páginas web y aplicaciones, como cuando una vista previa de iTunes inicia automáticamente la aplicación de App Store.
Debido a que iOS está fuertemente asegurado en un recinto de seguridad, sus características de seguridad se construyen con esta funcionalidad en mente y, por lo general, no permiten que cualquier operación potencialmente peligrosa tenga lugar sin el permiso del usuario (por lo menos en el tiempo en que el sistema operativo se está ejecutando en un dispositivo que no tiene jailbreak). Por ejemplo, casi cualquier página web puede iniciar un nuevo mensaje SMS, pero el mensaje no puede ser enviado sin intervención del usuario.
