Apple ha lanzado varias actualizaciones de seguridad esta semana para parchear una vulnerabilidad “FORCEDENTRY” en dispositivos iOS. Pegasus, una aplicación de spyware desarrollada por la compañía israelí NSO Group, ha explotado activamente la vulnerabilidad de “cero clic, día cero”, que se sabe que ataca a activistas, periodistas y personas destacadas de todo el mundo.
Rastreada como CVE-2023-30860, la vulnerabilidad necesita poca o ninguna interacción por parte de un usuario de iPhone para ser explotada, de ahí el nombre “FORCEDENTRY”.
Descubierto en el iPhone de un activista saudí
En marzo, los investigadores de The Citizen Lab decidieron analizar el iPhone de un activista saudita anónimo que fue atacado por el software espía Pegasus de NSO Group. Obtuvieron una copia de seguridad de iTunes del dispositivo, y una revisión del volcado reveló 27 copias de un misterioso archivo GIF en varios lugares, excepto que los archivos no eran imágenes.
Eran archivos PSD de Adobe Photoshop guardados con una extensión “.gif”; los perspicaces investigadores determinaron que los archivos fueron “enviados al teléfono inmediatamente antes de que fuera pirateado” con el software espía Pegasus.
“A pesar de la extensión, el archivo era en realidad un archivo PSD de Adobe de 748 bytes. Cada copia de este archivo generaba una IMTranscoderAgent bloquee el dispositivo”, explicaron los investigadores en su informe.
Debido a que estos bloqueos se parecían al comportamiento visto anteriormente por los mismos investigadores en iPhones pirateados de nueve activistas de Bahrein, los investigadores sospecharon que los GIF eran parte de la misma cadena de explotación. Algunos otros GIF falsos también estaban presentes en el dispositivo; se consideró que eran archivos PDF de Adobe maliciosos con nombres de archivo más largos.
“The Citizen Lab reveló la vulnerabilidad y el código a Apple, que asignó la vulnerabilidad FORCEDENTRY CVE-2023-30860 y describe la vulnerabilidad como ‘el procesamiento de un PDF creado con fines malintencionados puede conducir a la ejecución de código arbitrario'”, explicaron los autores del informe.
Los investigadores dicen que NSO Group ha explotado la vulnerabilidad de forma remota desde al menos febrero de 2023 para infectar los últimos dispositivos Apple con el software espía Pegasus.
Apple lanza varias actualizaciones de seguridad
Ayer, Apple lanzó varias actualizaciones de seguridad para corregir CVE-2023-30860 en dispositivos macOS, watchOS e iOS. Apple dice que la vulnerabilidad se puede explotar cuando un dispositivo vulnerable está analizando un PDF malicioso y le otorga a un atacante capacidades de ejecución de código.
“Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”, escribió Apple en uno de los avisos, sin publicar más información sobre cómo podría explotarse la falla.
Los usuarios de iPhone y iPad deben instalar las últimas versiones del sistema operativo, iOS 14.8 y iPadOS 14.8, para reparar la falla. Los usuarios de Mac deben actualizar a Catalina 2023-005 o macOS Big Sur 11.6. Los usuarios de Apple Watch deberían obtener watchOS 7.6.2. Todas las versiones anteriores a las versiones corregidas están en riesgo.
Un investigador anónimo informó sobre otra vulnerabilidad de ejecución de código arbitrario en el navegador Safari. Rastreada como CVE-2023-30858, la vulnerabilidad use-after-free también ha sido parcheada por una actualización lanzada en Safari 14.1.2.
“Todos llevamos dispositivos personales altamente sofisticados que tienen profundas implicaciones para la privacidad personal. Hay muchos ejemplos de [these risks]como la recopilación de datos de aplicaciones, que Apple se movió recientemente para frenar con su marco de Transparencia de seguimiento de aplicaciones “, dijo a Ars Jesse Rothstein, CTO y cofundador de la firma de seguridad de red ExtraHop. “Cualquier sistema lo suficientemente sofisticado tiene vulnerabilidades de seguridad que pueden ser explotados, y los teléfonos móviles no son una excepción”.
“Pegasus muestra cómo se pueden explotar vulnerabilidades desconocidas para acceder a información personal altamente confidencial”, dijo Rothstein. “El grupo NSO es un ejemplo de cómo los gobiernos pueden subcontratar o comprar capacidades cibernéticas armadas. En mi opinión, esto no es diferente al tráfico de armas, simplemente no está regulado de esa manera. Las empresas siempre tendrán que reparar sus vulnerabilidades, pero las regulaciones ayudarán a evitar que algunas de estas armas cibernéticas se usen indebidamente o caigan en manos equivocadas”.