Se utilizó un exploit de iMessage sin hacer clic para instalar el software espía Pegasus en los teléfonos inteligentes de periodistas y otras personas de alto perfil.
A Apple le encanta promocionar que su iPhone es el teléfono inteligente más seguro del planeta. Recientemente hablaron sobre cómo sus teléfonos inteligentes son el "dispositivo móvil de consumo más seguro del mercado"... justo después de que los investigadores descubrieran un exploit de iMessage sin clic utilizado para espiar a periodistas a nivel internacional.
Amnistía Internacionalpublicó un informe el otro dia eso fue revisado por pares por Laboratorio ciudadano, y el informe confirmó que Pegasus, el Grupo OSN-Spyware creado: se instaló con éxito en dispositivos mediante un exploit de iMessage de día cero y sin clic. Los investigadores descubrieron el software malicioso que se ejecuta en un dispositivo iPhone 12 Pro Max con iOS 14.6, un iPhone SE2 con iOS 14.4 y un iPhone SE2 con iOS 14.0.1. El dispositivo con iOS 14.0.1 no requirió día cero explotar.
El año pasado, se empleó un exploit similar (denominado KISMET) que se utilizó en dispositivos iOS 13.x, y los investigadores de Laboratorio ciudadano señaló que KISMET es sustancialmente diferente de las técnicas empleadas por Pegasus hoy en iOS 14. Pegasus existe desde hace mucho tiempo y fue documentado por primera vez en 2016 cuando se descubrió que explotaba tres vulnerabilidades de día cero en iPhones, aunque en aquel entonces era menos sofisticado ya que la víctima aún tenía que hacer clic en el enlace enviado.
El Correo de Washington detallado cómo funcionó el nuevo método de exploit cuando infectó el iPhone 11 de Claude Mangin, la esposa francesa de un activista político encarcelado en Marruecos. Cuando se examinó su teléfono, no se pudo identificar qué datos se extrajeron de él, pero de todos modos el potencial de abuso era extraordinario. Se sabe que el software Pegasus recopila correos electrónicos, registros de llamadas, publicaciones en redes sociales, contraseñas de usuarios, listas de contactos, imágenes, vídeos, grabaciones de sonido e historiales de navegación. Puede activar cámaras y micrófonos, escuchar llamadas y mensajes de voz e incluso recopilar registros de ubicación.
En el caso de Mangin, el vector de ataque fue a través de un usuario de Gmail llamado "Linakeller2203". Mangin no tenía conocimiento de ese nombre de usuario y su teléfono había sido pirateado varias veces con Pegasus entre octubre de 2020 y junio de 2021. El número de teléfono de Mangin estaba en una lista de más de 50.000 números de teléfono de más de 50 países, revisada por El Correo de Washington y varias otras organizaciones de noticias. NSO Group dice que otorga licencias de la herramienta exclusivamente a agencias gubernamentales para combatir el terrorismo y otros delitos graves, aunque se ha descubierto que innumerables periodistas, figuras políticas y activistas de alto perfil están en la lista. lista.
El Correo de Washington también encontró que en la lista habían aparecido 1.000 números de teléfono de la India. 22 teléfonos inteligentes obtenidos y analizados forensemente en la India encontraron que 10 fueron atacados con Pegasus, siete de ellos con éxito. Ocho de los 12 dispositivos que los investigadores no pudieron determinar que estaban comprometidos eran teléfonos inteligentes con Android. Si bien iMessage parece ser la forma más popular de infectar a una víctima, también existen otras formas.
El laboratorio de seguridad en Amnistía Internacional examinó 67 teléfonos inteligentes cuyos números estaban en la lista y encontró evidencia forense de infecciones o intentos de infección en 37 de ellos. 34 de ellos eran iPhones y 23 mostraron signos de infección exitosa. 11 mostraron signos de intento de infección. Sólo tres de los 15 teléfonos inteligentes Android examinados mostraron evidencia de un intento, aunque los investigadores señalaron que eso podría deberse al hecho de que los registros de Android no eran tan completos.
En los dispositivos iOS, la persistencia no se mantiene y reiniciar es una forma de eliminar temporalmente el software Pegasus. A primera vista, esto parece algo bueno, pero también hace que sea más difícil detectar el software. Bill Marczak de Laboratorio ciudadano recurrió a Twitter para explicar algunas partes más en detalle, incluida la explicación de cómo el software espía Pegasus no está activo hasta que se activa el ataque sin clic después de un reinicio.
Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad de Apple, hizo una declaración defendiendo los esfuerzos de Apple.
“Apple condena inequívocamente los ciberataques contra periodistas, activistas de derechos humanos y otras personas que buscan hacer del mundo un lugar mejor. Durante más de una década, Apple ha liderado la industria en innovación de seguridad y, como resultado, los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado.”, dijo en un comunicado. “Ataques como los descritos son muy sofisticados, su desarrollo cuesta millones de dólares, a menudo tienen una vida útil corta y se utilizan para atacar a personas específicas. Si bien eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, seguimos trabajando incansablemente para defender a todos nuestros clientes, y constantemente agregamos nuevas protecciones para sus dispositivos y datos."
Apple introdujo una medida de seguridad denominada "BlastDoor" como parte de iOS 14. Es un sandbox diseñado para evitar que ocurran ataques como Pegasus. BlastDoor rodea eficazmente iMessage y analiza todos los datos que no son de confianza en su interior, al tiempo que evita que interactúe con el resto del sistema. Registros telefónicos vistos por Laboratorio ciudadano muestran que los exploits implementados por NSO Group involucraron ImageIO, específicamente el análisis de imágenes JPEG y GIF. "Se han reportado más de una docena de errores de alta gravedad en ImageIO en 2021", Bill Marczak explicó en Twitter.
Esta es una historia en desarrollo, y es probable que Apple pronto publique una actualización que solucione los exploits utilizados por Pegasus en aplicaciones como iMessage. Este tipo de eventos resaltan la importancia de actualizaciones de seguridad mensualesy por qué siempre es importante tener instalados los últimos.