INTRODUCCIÓN 

¿Eres un usuario de Apple? Este artículo es para ti ya que tu iPhone puede ser hackeado simplemente visitando un sitio web de apariencia inocente, confirma un informe aterrador de los investigadores de Google publicado el 29 de Agosto del año en curso.

 

DESARROLLO

La historia se remonta a una amplia campaña de piratería informática que los investigadores de ciberseguridad del ya famoso “Project Zero”  de Google descubrieron a principios de este año en la naturaleza, en la que participaron al menos cinco cadenas únicas de explotación de iPhone capaces de romper remotamente la cárcel de un iPhone e implantar programas espía en él.

Estas cadenas de explotación de iOS se encontraron explotando un total de 14 vulnerabilidades distintas en el sistema operativo móvil iOS de Apple, de las cuales 7 residían en el navegador web de Safari, 5 en el kernel de iOS y 2 dispositivos de escape de caja de arena independientes, con casi todas las versiones en ese periodo de tiempo, desde iOS 10 hasta la última versión de iOS 12.

Según un artículo publicado por el investigador del Proyecto Cero, Ian Beer, sólo dos de las 14 vulnerabilidades de seguridad eran de día cero, CVE-2019-7287 y CVE-2019-7286, y no estaban parcheadas en el momento del descubrimiento, y sorprendentemente, la campaña permaneció sin detectar durante al menos dos años.

iOS Exploit Chain #1 iOS Exploit Chain #2, iOS Exploit Chain #3, iOS Exploit Chain #4 iOS Exploit Chain #5, JSC Exploits Implant Teardown

Aunque los detalles técnicos y la historia de fondo de ambas vulnerabilidades de entonces de día cero no estaban disponibles en ese momento, The Hacker News advirtió sobre ambos defectos en febrero después de que Apple lanzará la versión 12.1.4 de iOS para solucionarlos.

 

«Informamos de estos problemas a Apple con una fecha límite de 7 días el 1 de febrero de 2019, lo que resultó en la publicación fuera de banda de iOS 12.1.4 el 7 de febrero de 2019. También compartimos todos los detalles con Apple, que fueron revelados públicamente el 7 de febrero de 2019», dice Beer.

 

Ahora, como explicó el investigador de Google, el ataque se estaba llevando a cabo a través de una pequeña colección de sitios web pirateados con miles de visitantes por semana, dirigidos a todos los usuarios de iOS que accedían a esos sitios web sin discriminación.

 

«El simple hecho de visitar el sitio pirateado era suficiente para que el servidor de explotación atacara su dispositivo, y si tenía éxito, instalar un implante de monitorización», dice Beer.

 

Una vez que un usuario de iPhone visitó uno de los sitios web pirateados a través del vulnerable navegador web Safari, desencadenó los exploits de WebKit para cada cadena de explotación en un intento de obtener un punto de apoyo inicial en el dispositivo iOS del usuario y organizar los exploits de escalamiento de privilegios para obtener un mayor acceso de raíz al dispositivo, que es el nivel más alto de acceso.

Los exploits del iPhone se utilizaron para desplegar un implante diseñado principalmente para robar archivos como iMessages, fotos y datos de localización GPS en vivo de los usuarios, y cargarlos en un servidor externo cada 60 segundos.

 

«No hay ningún indicador visual en el dispositivo que indique que el implante está funcionando. No hay manera de que un usuario en iOS vea un listado de procesos, por lo que el binario de implantes no intenta ocultar su ejecución del sistema», explica Beers.

 

El implante de spyware también robó los archivos de la base de datos del dispositivo de la víctima utilizado por aplicaciones de cifrado de extremo a extremo populares como Whatsapp, Telegram e iMessage para almacenar datos, incluyendo chats privados en el texto sin formato.

Además, el implante también tuvo acceso a los datos del llavero del dispositivo de los usuarios que contenían credenciales, tokens de autenticación y certificados utilizados en y por el dispositivo.

 

«El llavero también contiene los tokens de larga duración utilizados por servicios como iOS Single-Sign-On de Google para que las aplicaciones de Google puedan acceder a la cuenta del usuario. Éstos se cargarán a los atacantes y podrán utilizarse para mantener el acceso a la cuenta de Google del usuario, incluso cuando el implante ya no esté en funcionamiento», afirma Beers.

 

Mientras que el implante se borraría automáticamente de un iPhone infectado al reiniciar sin dejar rastro de sí mismo, visitar el sitio pirateado de nuevo reinstalaría el implante.

 

Alternativamente, como explica Beer, los atacantes pueden «sin embargo ser capaces de mantener un acceso persistente a varias cuentas y servicios utilizando los tokens de autenticación robados del llavero, incluso después de perder el acceso al dispositivo».

 

CONCLUSIONES

Dado que Apple ya ha parchado la mayoría de las vulnerabilidades explotadas por las vulnerabilidades descubiertas del iPhone recomendamos a los usuarios que mantengan sus dispositivos actualizados para evitar ser víctimas de tales cadenas de ataques, así como verificar los sitios web a los que desean accesar, no compartir información que pueda comprometerlos como, contraseñas, datos de tarjetas, domicilio, correos, etc.