Se utilizó un exploit de iMessage de clic cero para espiar a periodistas

A Apple le encanta promocionar que su iPhone es el teléfono inteligente más seguro del planeta. Recientemente, la empresa habló de que sus teléfonos inteligentes son el "dispositivo móvil de consumo más seguro del mercado"... justo después de que los investigadores descubrieran un exploit de iMessage que se utilizaba sin necesidad de hacer clic para espiar a periodistas a nivel internacional.

Amnistía Internacionalpublicó el otro díaun informe revisado por paresporCitizen Lab, y el informe confirmó que Pegasus (el software espía creado porNSO Group) se instaló con éxito en dispositivos a través de un exploit de iMessage de día cero y sin hacer clic. Los investigadores descubrieron que el software malicioso se ejecutaba en un dispositivo iPhone 12 Pro Max con iOS 14.6, un iPhone SE2 con iOS 14.4 y un iPhone SE2 con iOS 14.0.1. El dispositivo con iOS 14.0.1 no requirió un exploit de día cero.

El año pasado, se empleó un exploit similar (denominado KISMET) que se usó en dispositivos iOS 13.x, y los investigadores deCitizen Labnotaron que KISMET es sustancialmente diferente de las técnicas empleadas por Pegasus hoy en día en iOS 14. Pegasus ha existido durante mucho tiempo y sedocumentó por primera vez en 2016cuando se descubrió que explotaba tres vulnerabilidades de día cero en iPhones, aunque en ese entonces, era menos sofisticado ya que la víctima todavía tenía que hacer clic en el enlace que se enviaba.

El Washington Postdetallócómo funcionó el nuevo método de explotación cuando infectó el iPhone 11 de Claude Mangin, la esposa francesa de un activista político encarcelado en Marruecos. Cuando se examinó su teléfono, no se pudo identificar qué datos se habían extraído de él, pero el potencial de abuso era extraordinario de todos modos. Se sabe que el software Pegasus recopila correos electrónicos, registros de llamadas, publicaciones en redes sociales, contraseñas de usuarios, listas de contactos, imágenes, videos, grabaciones de sonido e historiales de navegación. Puede activar cámaras y micrófonos, puede escuchar llamadas y mensajes de voz e incluso puede recopilar registros de ubicación.

En el caso de Mangin, el vector de ataque fue a través de un usuario de Gmail con el nombre de "Linakeller2203". Mangin no tenía conocimiento de ese nombre de usuario y su teléfono había sido hackeado varias veces con Pegasus entre octubre de 2020 y junio de 2021. El número de teléfono de Mangin estaba en una lista de más de 50.000 números de teléfono de más de 50 países, revisada porThe Washington Posty varias otras organizaciones de noticias. NSO Group dice que otorga licencias de la herramienta exclusivamente a agencias gubernamentales para combatir el terrorismo y otros delitos graves, aunque se ha descubierto que innumerables periodistas, figuras políticas y activistas de alto perfil están en la lista.

El Washington Posttambiéndescubrióque en la lista aparecían 1.000 números de teléfono de la India. De 22 teléfonos inteligentes obtenidos y analizados forensemente en la India, se descubrió que 10 de ellos habían sido atacados con Pegasus, siete de ellos con éxito. Ocho de los 12 dispositivos que los investigadores no pudieron determinar que estaban comprometidos eran teléfonos inteligentes Android. Si bien iMessage parece ser la forma más popular de infectar a una víctima, también existen otras formas.

El laboratorio de seguridad deAmnistía Internacionalexaminó 67 teléfonos inteligentes cuyos números figuraban en la lista y encontró pruebas forenses de infecciones o intentos de infección en 37 de ellos. 34 de ellos eran iPhones y 23 mostraban signos de infección exitosa. 11 mostraban signos de intento de infección. Sólo tres de los 15 teléfonos inteligentes Android examinados mostraron evidencia de un intento, aunque los investigadores señalaron que eso podría deberse al hecho de que los registros de Android no eran tan completos.

En los dispositivos iOS, la persistencia no se mantiene y reiniciar es una forma de eliminar temporalmente el software Pegasus. A primera vista, esto parece algo bueno, pero también ha dificultado la detección del software. Bill Marczak, deCitizen Lab,recurrió a Twitter para explicar algunas partes más en detalle, incluida la explicación de que el software espía Pegasus no está activo hasta que se lanza el ataque de clic cero después de un reinicio.

Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad de Apple, dio una declaración defendiendo los esfuerzos de Apple.

“Apple condena inequívocamente los ciberataques contra periodistas, activistas de derechos humanos y otras personas que buscan hacer del mundo un lugar mejor. Durante más de una década, Apple ha liderado la industria en innovación de seguridad y, como resultado, los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado”, afirmó en un comunicado.“Los ataques como los descritos son muy sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos. Si bien eso significa que no son una amenaza para la abrumadora mayoría de nuestros usuarios, seguimos trabajando incansablemente para defender a todos nuestros clientes y constantemente agregamos nuevas protecciones para sus dispositivos y datos”.

Apple introdujo una medida de seguridad denominada "BlastDoor" como parte de iOS 14. Se trata de un sandbox diseñado para evitar que se produzcan ataques como Pegasus. BlastDoor rodea de forma eficaz iMessage y analiza todos los datos no fiables que contiene, al tiempo que evita que interactúe con el resto del sistema. Los registros telefónicos vistos porCitizen Labmuestran que los exploits implementados por NSO Group implicaban a ImageIO, concretamente el análisis de imágenes JPEG y GIF. "Se han notificado más de una docena de errores de alta gravedad en ImageIO en 2021",explicó Bill Marczak en Twitter.

Esta es una historia en desarrollo y es probable que Apple lance pronto una actualización que solucione los exploits utilizados por Pegasus en aplicaciones como iMessage. Este tipo de eventos resaltan la importancia delas actualizaciones de seguridad mensualesy por qué siempre es importante tener instaladas las más recientes.