Apple precipitó una actualización de iOS de emergencia hace 2 días después de descubrir tres vulnerabilidades de día cero que utilizan los gobiernos para espiar las actividades de los defensores de los derechos humanos y periodistas.
Los cero días, llamados Trident, permiten a un atacante tomar el control completo de un iPhone o iPad con un solo clic, tres distintas vulnerabilidades de día cero combinadas en Trident crean una cadena de ataque que puede poner en peligro incluso dispositivos con la ultima versión de iOS de Apple.
Las vulnerabilidades día cero se dieron a conocer de forma privada a Apple por Citizen Lab, que se basa en la Escuela Munk de Asuntos Globales en la Universidad de Toronto, y por la empresa de seguridad móvil Lookout . Los usuarios deben actualizar los dispositivos iOS a la versión 9.3.5.
“Se trata de una vulnerabilidad grave. Está diseñada para trabajar en silencio y de forma remota, todo lo que el usuario tiene que hacer es hacer clic en un vínculo y la explotación sucederá, y el dispositivo se hace jailbreak y se instala el malware “, dijo Andrew Blaich un investigador de Lookout. “El usuario no tiene indicación de que algo ha pasado en su dispositivo.”
Las vulnerabilidades día cero fueron vendidas por una compañía de software polémica en Israel llamada Grupo NSO, según Citizen Lab. Esa empresa llama a su software espía móvil de vigilancia, Pegasus, y lo vende a los gobiernos y terceros que lo utilizan para espiar a lo que consideran objetivos de alto valor, dijo Citizen Lab.
Citizen Lab fue notificado de Pegasus el 10 de agosto por Ahmed Mansoor, un activista de derechos humanos de los Emiratos Árabes Unidos, que contactó a la organización despues de un mensaje de texto extraño enviado a su iPhone desde un número de teléfono no reconocido.
El mensaje contenía un enlace a un sitio web desconocido y estaba acompañado por un mensaje que le apresuraba a hacer clic en un enlace para conocer nuevos “secretos” sobre detenidos torturados en cárceles de los EAU. En lugar de hacer clic en el enlace, Mansoor envió el enlace a Citizen Lab. Bill Marczak y John Scott-Railton, investigadores de alto nivel en el Citizen Lab, reconocieron el enlace como conectado a una red de dominios que se creía que eran parte de una infraestructura de explotacion proporcionada por el Grupo de NSO.
“Reconocimos de inmediato este dominio como parte de una red de ataques que habiamos observado anteriormente,” dijo Scott-Railton. “Con la esperanza de que la red aun estuviera viva y lista para servir y explotar, la visitamos en un iPhone y hemos sido capaces de conseguir un éxito en la infección.”
Citizen Lab no fue capaz de determinar la extensión de infecciones pasadas o presentes con Pegasus. Sin embargo, fue capaz de determinar que Mansoor no era el único infectado; el periodista mexicano Rafael Cabrera también había sido atacado. Citizen Lab publicó un informe el jueves mostrando su descubrimiento.
“Esto demuestra que algunos gobiernos están dispuestos a gastar grandes cantidades de dinero para entrar en las mentes y las comunicaciones privadas de las personas que están en este tipo de situación”, dijo Scott-Railton en una entrevista. “Esta investigación demuestra el poder de las organizaciones independientes como ciudadano de laboratorio haciendo el trabajo con los disidentes y otros grupos que no cuentan con los recursos y dinero para pagar por la seguridad de nivel empresarial. El hecho de que no pueden defenderse contra ella, no significa que no van a ser blancos de malware sofisticado. En el futuro esperamos por lo que vemos más ataques de este tipo “, dijo.
Lookout dijo Pegasus es el ataque más sofisticado que se ha visto en un movil. De acuerdo con su informe:
“Pegasus es desarrollado profesionalmente y muy avanzado en el uso de vulnerabilidades de día cero, ofuscación de código, y cifrado. Se utiliza un sofisticado de enganche función de subvertir la seguridad OS- y la capa de aplicación en las llamadas de voz/audio y aplicaciones incluyendo Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, correo electrónico y aplicaciones de mensajería integradas de Apple, y otros. Roba la lista de contactos de la víctima y localización GPS, así como contraseñas personales, de Wi-Fi y de router almacenadas en el dispositivo “.
De acuerdo con un análisis técnico de Lookout, la primer día cero (CVE-2016-4655), fue una vulnerabilidad de corrupción de memoria en el navegador web móvil WebKit de Apple.
El segundo (CVE-2016-4656) es una vulnerabilidad de mapeo de kernel base que filtra información al atacante que le permite calcular la memoria del kernel, según Lookout. La tercera (CVE-2016-4657) es una corrupción de memoria del Kernel que conduce al jailbreak del dispositivo. Lookout dijo que éstas son vulnerabilidades de 32 y 64 bits de iOS que permiten al atacante hacer jailbreak en silencio al dispositivo y, en este caso, instalar el software de vigilancia.
“La secuencia de ataque comienza con un esquema de phishing simple: envía un mensaje de texto (o Twitter u otro tipo) con una URL de aspecto benigno, el usuario hace clic en el enlace, el navegador web abre, la página de carga, explota una vulnerabilidad del navegador o sistema operativo, instala el software para obtener información y para asegurar que el software permanece instalado en el dispositivo (persistencia) “, escribió Lookout.
 |
| Esquema del ataque |
El software espía Pegasus puede espiar las llamadas telefónicas, registros de llamadas, mensajes SMS y puede activar el micrófono del teléfono, altavoces y la cámara. “El acceso a este contenido podría ser utilizado para ganar aún más acceso a otras cuentas propiedad del objetivo, como banco, correo electrónico y otros servicios que él/ella puede usar dentro o fuera del dispositivo”, escribió Lookout.
Blaich, de Lookout dijo que cree que variantes de Trident han estado en uso desde hace años remontandose a iOS 7, lanzado en 2013.
“Grupo NSO parece tener cientos de empleados y hace millones de dólares en ingresos anuales, efectivamente como un traficante de armas cibernéticas, por la venta de su sofisticado software de ataque móvil. es sólo un ejemplo de este tipo de mercenarios cibernéticos: sabemos que no es el único “, escribió Lookout.
Fuente:https://www.cronicahacker.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
