Dos meses después de filtrarse más de 50.000 números de teléfono que supuestamente estarían siendo espiados mediante el spyware Pegasus volvemos a comprobar la capacidad que tienen los desarrolladores de este tipo de software para encontrar agujeros de seguridad en dispositivos Apple.
Vulnerabilidad 0-day que no requiere interacción del usuario
En la investigación realizada por Amnistía Internacional el pasado mes de julio pudimos comprobar que los desarrolladores de Pegasus habían conseguido comprometer incluso a dispositivos que tenían instalada la última versión disponible de iOS, gracias a vulnerabilidades de las que no se tenían constancia hasta la fecha.
Ahora, gracias a una nueva investigación, vemos como este tipo de vulnerabilidades están a la orden del día cuando se trata de conseguir infectar dispositivos Apple e incluso como algunas de ellas no requieren de interacción alguna con el usuario para conseguir comprometer el sistema.
Mediant el análisis del móvil perteneciente a un activista saudí realizado por Citizen Lab el pasado mes de marzo se ha podido encontrar una vulnerabilidad que han llamado Forcedentry que permite ejecutar malware a través de un fallo en iMessage a la hora de procesar ciertos archivos. Este agujero de seguridad habría sido utilizado desde, al menos, el mes de febrero de 2021 por los desarrolladores del spyware Pegasus, software que es utilizado por varios gobiernos para espiar a objetivos concretos.
El peligro de esta vulnerabilidad, como otras tantas usadas anteriormente por Pegasus, radica en que el usuario no tiene que pulsar sobre un enlace ni abrir ningún fichero. Toda la cadena de infección se realiza de forma invisible al usuario y este no puede saber si ha sido infectado a menos que realice un análisis forense exhaustivo del dispositivo.
Además, la vulnerabilidad afecta a dispositivos iOS, MacOS y WatchOS, por lo que todos los iPhones con versiones de iOS anteriores a la 14.8, ordenadores Mac con versiones de OSX anteriores a Big Sur 11.6 (actualización de seguridad 2021-005 Catalina) y todos los Apple Watch con watchOS 7.6.2 son vulnerables. Apple lanzó estas actualizaciones el pasado 13 de septiembre de 2021, por lo que se recomienda encarecidamente aplicarlas en nuestros dispositivos.
Atribuciones y casos anteriores
Cuando se descubren este tipo de vulnerabilidades siendo aprovechadas activamente se debe ir con cuidado a la hora de realizar las atribuciones ya que siempre existe el riesgo de que estemos ante un ataque de falsa bandera. Sin embargo, en esta ocasión los investigadores detectaron varios elementos distintivos que han sido claves para atribuir la utilización de esta vulnerabilidad por NSO Group.
El primero de estos puntos clave es que el spyware instalado aprovechando la vulnerabilidad Forcedentry muestra un fallo a la hora de eliminar de forma completa evidencias desde el archivo DataUsage.sqlite y que se conoce como Cascadefail. Este error tan solo ha sido observado anteriormente asociado al spyware Pegasus, por lo que es lo suficientemente relevante como para atribuir la explotación de la nueva vulnerabilidad a NSO Group.
Además, el spyware que se instala aprovechando la vulnerabilidad Forcedentry varios nombres de procesos, incluyendo el de “setframed”. Este nombre de proceso fue utilizado en un ataque en el que se utilizó Pegasus para infectar el dispositivo de un periodista de Al Jazeera en Julio de 2020.
Tampoco es la primera vez que vemos como NSO Group utiliza exploits que no necesitan interacción alguna del usuario, con ejemplos como la vulnerabilidad en WhatsApp descubierta en 2019 u otras vulnerabilidades anteriores en iMessage como el exploit Kismet. De hecho, el parche aplicado por Apple en iOS14 frente al exploit Kismet es posible que fuera el detonante para el desarrollo de ForcedEntry.
Conclusión
Cuando hablamos de este tipo de vulnerabilidades hemos de tener en cuenta que, originalmente, no se utilizan de forma masiva sino que se emplean contra objetivos concretos de especial interés. No obstante, una vez se publican los detalles de las vulnerabilidades existe la posibilidad de que algunos delincuentes traten de utilizarlas con otros motivos diferentes al espionaje, por lo que siempre es recomendable mantener nuestros dispositivos actualizados para evitar problemas.