Observando la seguridad en la red

Te traemos las últimas noticias sobre ciberseguridad y ciberataques

iPhone-hack.jpg

El mayor hackeo del iPhone de la historia

Hackear el iPhone ha sido considerado durante mucho tiempo una hazaña casi imposible, llevado a cabo por sofisticados estados nacionales solo contra objetivos de mayor valor. Pero un descubrimiento realizado por un grupo de investigadores de Google ha volcado esa idea sobre su cabeza.

Durante dos años por lo menos, alguien ha estado utilizando una rica colección de vulnerabilidades del iPhone de forma vasta y por demás convencional. Han logrado hackear indiscriminadamente miles de iPhones con solo lograr que visiten un sitio web.

El jueves por la noche, el equipo de investigación de seguridad del Project Zero de Google reveló una amplia campaña de piratería de iPhone. Un puñado de sitios web accesibles al público contenía cinco cadenas de exploits, herramientas que vinculan las vulnerabilidades de seguridad, permitiendo que un hacker penetre en cada capa de las protecciones digitales del iOS. Las raras e intrincadas cadenas de código explotaron un total de 14 fallas de seguridad, dirigidas a todo, desde el mecanismo de aislamiento «sandbox» del navegador hasta el núcleo del sistema operativo conocido como Core, finalmente obteniendo el control completo sobre el teléfono.

También se usaron cualquier cosa menos con moderación. Los investigadores de Google dicen que los sitios maliciosos fueron programados para evaluar los dispositivos que los cargaron y, de ser posible, comprometerlos con un poderoso malware de monitoreo. Casi todas las versiones de iOS 10 a iOS 12 eran potencialmente vulnerables. Los sitios estaban activos desde al menos 2017 y tenían miles de visitantes por semana.

«Esto es aterrador«, dice Thomas Reed, especialista en investigación de malware para Mac y dispositivos móviles en la firma de seguridad Malwarebytes. «Estamos acostumbrados a que las infecciones de iPhone sean ataques dirigidos por adversarios del tipo estado-nación. La idea de que alguien estaba infectando todos los iPhones que visitaron ciertos sitios web es escalofriante«.

Un nuevo paradigma

El ataque es notable no solo por su amplitud, sino por la profundidad de la información que podría obtener de un iPhone hackeado. Una vez instalado, podría monitorear los datos de ubicación en vivo, o usarse para tomar fotos, contactos e incluso contraseñas y otra información confidencial del llavero iOS.

Con un acceso tan profundo al sistema, los atacantes también podrían potencialmente leer o escuchar las comunicaciones enviadas a través de servicios de mensajes cifrados, como WhatsApp, iMessage o Signal. El malware no rompe el cifrado subyacente, pero estos programas aún descifran datos en los dispositivos del remitente y del receptor. Los atacantes pueden incluso haber tomado tokens de acceso que se pueden usar para iniciar sesión en servicios como redes sociales y cuentas de comunicación. Reed dice que los usuarios de iPhone víctimas probablemente no hubieran tenido indicios de que sus dispositivos estuvieran infectados.

Google no ha nombrado los sitios web que sirvieron como mecanismo de infección de «pozo de agua», ni ha compartido otros detalles sobre los atacantes o quiénes fueron sus víctimas. Google dice que alertó a Apple sobre sus vulnerabilidades día cero de iOS el 1 de febrero, y Apple las parchó en iOS 12.1.4, lanzado el 7 de febrero. Apple se negó a comentar sobre los hallazgos. Pero según la información que Project Zero ha compartido, la operación es casi seguramente el mayor incidente de piratería de iPhone conocido de todos los tiempos.

También representa un cambio profundo en la forma en que la comunidad de seguridad piensa acerca de los ataques de día cero raros y la economía del hacking «dirigido». La campaña debería disipar la noción, escribe el investigador de Google Project Zero, Ian Beer, de que cada víctima de hacking de iPhone es un «disidente de un millón de dólares«, un apodo dado al activista de derechos humanos de los EAU ahora encarcelado Ahmed Mansour en 2016 después de que su iPhone fue pirateado. Dado que se estimaba que una técnica de pirateo de iPhone en ese momento costaba $ 1 millón o más, hasta $ 2 millones hoy, según algunos precios publicados, los ataques contra disidentes como Mansour se consideraban caros, sigilosos y altamente focalizados como regla.

La campaña de hackeo de iPhone que Google descubrió anula esas suposiciones. Si una operación de hacking es lo suficientemente descarada como para poder hackear indiscriminadamente miles de teléfonos, el hackeo del iPhone no debería ser tan costoso, dice Cooper Quintin, un investigador de seguridad del Laboratorio de Amenazas de la Electronic Frontier Foundation.

«La sabiduría y las matemáticas prevalecientes han sido incorrectas«, dice Quintin, quien se enfoca en el hacking patrocinado por el estado que apunta a activistas y periodistas. «Hemos estado operando en este marco, que cuesta un millón de dólares piratear el iPhone del disidente. En realidad, cuesta mucho menos que eso por disidente si atacas a un grupo. Si tu objetivo es una clase entera de personas y estás dispuesto a hacer un ataque a un pozo de agua, el precio por disidente puede ser muy barato «.

No está claro quién podría estar detrás de la descarada campaña, pero tanto su sofisticación como su enfoque en el espionaje sugieren hackers patrocinados por el estado. Y Quintin argumenta que las tácticas de infección masiva de la campaña implican un gobierno que quiere vigilar a un gran grupo que podría auto-seleccionarse visitando un determinado sitio web. «Hay muchos grupos minoritarios como los uigures chinos, palestinos, personas en Siria, a cuyos respectivos gobiernos les gustaría espiarlos así«, dice Quintin. «Cualquiera de esos gobiernos estaría contento de sacar esta técnica, si llegaran a explotar cadenas de esta magnitud«.

La campaña lleva muchas de las características de una operación de vigilancia doméstica, dice Jake Williams, un ex pirata informático de la NSA y fundador de la firma de seguridad Rendition Infosec. Y el hecho de que persistió sin ser detectado durante dos años sugiere que puede haber estado contenido en un país extranjero, ya que este tipo de datos que viajan a un servidor lejano habría generado alarmas. «Después de dos años sin ser atrapado, no puedo entender que esto haya cruzado las fronteras nacionales«, dice.

Llamada de atención

Los piratas informáticos aún cometieron algunos errores extrañamente aficionados, señala Williams, lo que hace que sea aún más extraordinario que hayan operado tanto tiempo sin ser detectados. El spyware que los piratas informáticos instalaron con sus herramientas de día cero no utilizaba el cifrado HTTPS, lo que potencialmente permitía a otros piratas informáticos interceptar o alterar los datos que el spyware robó en tránsito. Y esos datos se desviaron a un servidor cuyas direcciones IP estaban codificadas en el malware, lo que hizo que fuera mucho más fácil ubicar los servidores del grupo y les resultó más difícil adaptar su infraestructura con el tiempo. (Google cuidadosamente dejó esas direcciones IP fuera de su informe).

Dada la falta de coincidencia entre el software espía crudo y las cadenas altamente sofisticadas de día cero utilizadas para plantarlo, Williams plantea la hipótesis de que los piratas informáticos pueden ser una agencia gubernamental que compró las explotaciones de día cero de un contratista, pero cuyos programadores sin experiencia codificaron el malware dejado atrás en el objetivo iPhones «Este es alguien con un montón de dinero y un oficio horrible, porque son relativamente jóvenes en este juego«, dice Williams.

Independientemente de quién esté detrás de esto, el pirateo masivo no detectado de miles de iPhones debería ser una llamada de atención a la industria de la seguridad, y particularmente a cualquiera que haya descartado el pirateo de iOS como un fenómeno atípico, que probablemente no afecte a alguien cuyos secretos no son Vale un millón de dólares. «Ser objetivo podría significar simplemente haber nacido en una determinada región geográfica o ser parte de un determinado grupo étnico«, escribe Beer de Google. «Todo lo que los usuarios pueden hacer es ser conscientes del hecho de que la explotación masiva aún existe y comportarse en consecuencia; tratar sus dispositivos móviles como parte integral de sus vidas modernas, pero también como dispositivos que, cuando se ven comprometidos, pueden cargar todas sus acciones en una base de datos para potencialmente ser utilizado contra ellos «.

Publicado originalmente en:

Isaul CarballarEl mayor hackeo del iPhone de la historia