Google descubre la campaña masiva de ataques para iPhone
Un grupo de sitios web hackeados ha estado comprometiendo silenciosamente los iPhones completamente parcheados durante al menos dos años, informa el Proyecto Cero.
Durante al menos dos años, una pequeña colección de sitios web hackeados ha estado atacando iPhones en una campaña masiva que afecta a miles de dispositivos, investigadores con el informe Google Project Zero.
Estos sitios se infiltraron silenciosamente en iPhones a través de ataques indiscriminados de “agujero de riego” utilizando vulnerabilidades previamente desconocidas, Project Zero’s Ian Beer informa en una divulgación publicada a finales del jueves. Estima que los sitios web afectados reciben miles de visitantes semanales, lo que subraya la gravedad de una campaña que altera las opiniones de larga data sobre la seguridad de los productos de Apple.
“No hubo discriminación objetivo; simplemente visitar el sitio web hackeado fue suficiente para que el servidor de exploits atacara su dispositivo, y si tuvo éxito, instalar una planta de monitoreo”, explica Beer.
El Grupo de Análisis de Amenazas (TAG) de Google encontró cinco cadenas de exploits que cubren casi todas las versiones del sistema operativo desde iOS 10 a la última versión de iOS 12. Estas cadenas conectaron fallas de seguridad para que los atacantes pudieran pasar por alto varias capas de protección. En total, explotaron 14 vulnerabilidades: siete que afectan al navegador Safari, cinco para el kernel y dos escapes sandbox.
Cuando las víctimas desprevenidas accedieron a estos sitios web maliciosos, que habían estado en vivo desde 2017, el sitio evaluaría el dispositivo. Si el iPhone fuera vulnerable, cargaría el malware de monitoreo. Esto se utilizó principalmente para robar archivos y cargar los datos de ubicación en vivo de los usuarios, Cerveza escribe.
El malware concedió acceso a todos los archivos de base de datos de una víctima utilizado por aplicaciones como WhatsApp, Telegram, y iMessage para que los atacantes podrían ver mensajes de texto no cifrado enviados y recibidos. Cerveza demuestra cómo los atacantes podrían cargar archivos privados, copiar los contactos de una víctima, robar fotos, y realizar un seguimiento de la ubicación en tiempo real cada minuto. El implante también carga el llavero del dispositivo que contiene credenciales y certificados, así como tokens utilizados por servicios como el inicio de sesión único, que las personas utilizan para acceder a varias cuentas.
No hay ningún indicador visual para decirle a las víctimas que el implante se está ejecutando, Cerveza señala, y el malware solicita comandos de un servidor de comando y control cada 60 segundos.
“El implante tiene acceso a casi toda la información personal disponible en el dispositivo, que es capaz de cargar, sin cifrar, en el servidor del atacante”, dice. No persiste en el dispositivo; si se reinicia el iPhone, el implante no se ejecutará a menos que el dispositivo se vuelva a explotar. Aún así, dada la cantidad de datos que tienen, el atacante puede permanecer persistente sin el malware.
Google descubrió inicialmente esta campaña en febrero y la informó a Apple, dando al fabricante del iPhone una semana para solucionar el problema. Apple lo parcheó en iOS 12.1.4, lanzado el 7 de febrero de 2019.
Los iPhones, MacBooks y otros dispositivos Apple se consideran ampliamente más seguros que sus competidores. La creencia popular también sostiene que los costosos ataques de día cero están reservados para víctimas específicas y de alto valor. El descubrimiento de Google disipa ambas suposiciones: Este grupo de ataque demostró cómo se pueden utilizar los días cero para causar estragos al hackear a una población más grande.
Contact Information:
Keywords: afds, afdsafds
