Apple
acaba de publicar la
versión 9.3.5 de iOS, su sistema
operativo para dispositivos móviles. Está versión está destinada a solucionar tres vulnerabilidades 0-day empleadas por
un software espía.
Los problemas fueron descubiertos
hace 10 días, por investigadores de Citizen Lab (Munk School de la Universidad
de Toronto) y la compañía Lookout. Se trata de tres vulnerabilidades,
bautizadas como Tridente, que forman una
cadena de ataques que pueden permitir evitar toda la protección del sistema iOS.
Una combinación que canaliza un ataque desde un simple click a un enlace a la
elevación de privilegios dentro del dispositivo.
Este "Tridente" de vulnerabilidades se ha empleado en un spyware
conocido como Pegasus, desarrollado según sus descubridores por la organización
israelí NSO Group, una empresa con productos similares a los ofrecidos por Hacking
Team.
 |
Imagen de un folleto de NSO Group. Fuente: Citizen
Lab
|
"Pegasus es altamente avanzado en su
uso de 0-days, ofuscación, cifrado y
explotación a nivel del kernel."
La cadena de vulnerabilidades
funciona según la siguiente sucesión:
CVE-2016-4657:
Un exploit para WebKit, que permite la ejecución del shellcode inicial cuando
el usuario pulsa un enlace.
CVE-2016-4655:
Un exploit para saltar la protección Kernel Address Space Layout Randomization
(KASLR) que permite al atacante calcular la localización del kernel en memoria.
CVE-2016-4656:
Vulnerabilidades a nivel del kernel iOS de 32 y 64 bits que permiten la
ejecución de código en el kernel, empleadas para realizar un jailbreak del
dispositivo y ejecutar software espía sin conocimiento del usuario.
La secuencia de ataque se
realizaba mediante un clásico esquema de
phishing: enviar un mensaje de texto, abrir el navegador, cargar una
página, explotar las vulnerabilidades e instalar el software persistente para
recopilar información. Todo ellos, realizado de forma invisible y silenciosa,
de manera que las víctimas no llegan a saber que han sido comprometidos.
Según los investigadores
de Lookout el software espía es altamente configurable, dependiendo del
país de uso y el conjunto de características adquiridas por el usuario, podía
permitir acceder a los mensajes, llamadas, correos electrónicos, registros y
datos desde aplicaciones como Gmail, Facebook, Skype, WhatsApp, Viber,
FaceTime, Calendar, Line, Mail.Ru, WeChat, SS, Tango y otras. El kit parece persistir incluso cuando el software
del dispositivo se actualiza y podía actualizarse a sí mismo para
reemplazar módulos o funcionalidades obsoletas.
El equipo de Citizen Lab ha
rastreado los ataques a varios activistas de derechos humanos y periodistas de diferentes partes del
mundo, mientras que Lookout se ha centrado en los detalles
técnicos del malware, desde la cadena del exploit hasta su uso. Ambos
grupos de investigadores han publicado completos, y muy interesantes, informes
con análisis detallados de las vulnerabilidades, de cómo se han llevado a cabo
los ataques y del software espía.
Esta nueva versión de iOS está
disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y
posteriores e iPod touch de 5ª generación. La actualización está disponible a
través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de
software).
Este hallazgo nos permite
comprobar el principio de "no hay
sistema seguro". Quizás podemos encontrar más o menos malware
orientado a una plataforma concreta. En Koodous,
es continuo el crecimiento en volumen de
detecciones de malware, algo que experimentamos a diario. Pero los exploits
o vulnerabilidades no poseen una "plataforma
preferente", todo aquello que
ejecuta código es explotable. Ni iOS, ni Android ni lo que esté por llegar se
libran.
Más información:
About the security content of iOS 9.3.5
Sophisticated, persistent mobile attack against
high-value targets on iOS
The Million Dollar Dissident: NSO Group’s
iPhone Zero-Days used against a UAE Human Rights Defender
Technical Analysis of Pegasus Spyware
una-al-dia (08/07/2015) Sombreros
verdes y 400 gigas de caramelos
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario