Nuevo exploit de iPhone está siendo utilizado para implementar Pegasus
Los investigadores de amenazas digitales de Citizen Lab han descubierto un nuevo exploit cero clic (zero-click) en iMessage. Este exploit está siendo utilizado para implementar el spyware Pegasus de NSO Group en dispositivos que pertenecen a activistas de Bahrein.
En total, nueve activistas de Bahrein (incluidos miembros del Centro de Derechos Humanos de Bahrein, Waad, Al Wefaq) fueron víctimas de este exploit. Los iPhones de los activistas fueron hackeados en una campaña parcialmente orquestada por un operador de Pegasus vinculado al gobierno de Bahrein, según las investigaciones de Citizen Lab.
El software espía se implementó en sus dispositivos después de haber sido comprometido con dos exploits cero clic de iMessage. Es decir, exploits que no requieren la interacción del usuario). Especificamnte, utilizaron el exploit 2020 KISMET y un nuevo exploit nunca antes visto llamado FORCEDENTRY. Este último exploit fue previamente identificado por Amnesty Tech como Megalodon.
Nuevo exploit zero-click para iPhone en uso desde febrero de 2021
Los ataques de NSO Group que utilizan el nuevo exploit zero-clic para iMessage (que elude la función iOS BlastDoor diseñada para bloquear tales exploits) se detectaron por primera vez en febrero de 2021.
“Vimos el exploit FORCEDENTRY implementado con éxito en las versiones 14.4 y 14.6 de iOS como un día cero”, dijo Citizen Lab.
“Con el consentimiento de los objetivos, compartimos estos registros de fallos y algunos registros telefónicos adicionales relacionados con KISMET y FORCEDENTRY con Apple. Apple nos confirmó que estaban investigando”.
Si bien protegerse contra las vulnerabilidades de iMessage solo requeriría deshabilitar iMessage y FaceTime, NSO Group también ha utilizado vulnerabilidades dirigidas a otras aplicaciones de mensajería, incluido WhatsApp.
Además, deshabilitar iMessage dará lugar a otros problemas, incluido el envío de mensajes no cifrados que un actor de amenazas ingenioso podría interceptar fácilmente.
Desafortunadamente, hasta que Apple emita actualizaciones de seguridad para abordar las vulnerabilidades explotadas por el exploit FORCEDENTRY de NSO Group, no hay mucho que hacer. Lo único que los objetivos potenciales podrían hacer para protegerse es desactivar todas las aplicaciones que la empresa de vigilancia israelí podría potencialmente atacar.
Pegasus de NSO Group utilizado en ataques de alto perfil
Los ataques revelados por Citizen Lab en el informe son parte de solo uno de una larga serie de informes y documentos que documentan el spyware Pegasus de NSO Group. Este software ha sido utilizado para espiar a periodistas y defensores de los derechos humanos (DDHH) en todo el mundo.
Pegasus, una herramienta de spyware desarrollada por la firma de vigilancia israelí NSO Group. Este se vende como un software de vigilancia “con licencia para agencias gubernamentales legítimas con el único propósito de investigar delitos y terrorismo“.
Hace dos años, Facebook demandó a la empresa israelí de cibervigilancia NSO Group por crear y vender un exploit día cero de WhatsApp. Este fue utilizado para infectar los dispositivos de objetivos de alto perfil, como funcionarios gubernamentales, diplomáticos y periodistas con spyware.
Citizen Lab reveló en 2018 que descubrieron que algunos licenciatarios de Pegasus lo usaban para vigilancia transfronteriza. Lo estaban utilizando países con servicios de seguridad estatales que tenían un historial de comportamiento abusivo.
Otro alarmante informe
Por último, pero no menos importante, la organización no gubernamental de derechos humanos Amnistía Internacional y el proyecto sin fines de lucro Forbidden Stories revelaron un informe separado de julio. El informe revela que el spyware creado por NSO Group se implementó en iPhones que ejecutaban la última versión de iOS de Apple utilizando exploits zero-click de iMessage dirigidos a múltiples días cero de iOS.
Citizen Lab observó de forma independiente a Pegasus implementado en un iPhone 12 Pro Max con iOS 14.6 (la última versión del sistema operativo). El dispositivo fue hackeado utilizando un exploit iMessage de día cero y cero clic, que no requería la interacción de los objetivos.
“La mecánica del exploit de cero clic para iOS 14.x parece ser sustancialmente diferente del exploit KISMET para iOS 13.5.1 y iOS 13.7. Esto sugiere que de hecho es un exploit de cero clic de iMessage diferente”, afirmó Citizen Lab
Estas recientes revelaciones indican que los clientes de NSO Group pueden comprometer de forma remota todos los modelos recientes de iPhone y versiones de iOS”. .
Amnistía Internacional y Forbidden Stories
Hasta el cierre de esta nota ningún portavoz de Apple ha realizado ninguna declaración con respecto a esta revelación.