Apple lanza actualización que corrige la vulnerabilidad del software espía NSO que afecta a Mac, iPhone, iPad y relojes

  • Citizen Lab dijo que la vulnerabilidad daría a los piratas informáticos acceso a un dispositivo sin que la víctima ni siquiera haga clic en nada.

Apple ha lanzado una actualización de seguridad urgente para los usuarios de Mac, iPhone, iPad y Watch después de que investigadores de Citizen Lab descubrieron un exploit de día cero y cero clic de la empresa mercenaria de software espía NSO Group que brinda a los atacantes acceso completo a la cámara, el micrófono y los mensajes de un dispositivo. , mensajes de texto, correos electrónicos, llamadas y más.

Citizen Lab dijo en un informe que la vulnerabilidad, etiquetada como CVE-2021-30860, afecta a todos los iPhones con versiones de iOS anteriores a la 14.8, todas las computadoras Mac con versiones del sistema operativo anteriores a OSX Big Sur 11.6, Actualización de seguridad 2021-005 Catalina y todos los relojes Apple anteriores a watchOS 7.6.2.

Apple agregó que afecta a todos los modelos de iPad Pro, iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores y iPod touch de séptima generación.

CVE-2021-30860 permite ejecutar comandos cuando se abren archivos en ciertos dispositivos. Citizen Lab señaló que la vulnerabilidad daría acceso a los piratas informáticos sin que la víctima siquiera haga clic en nada. Citizen Lab mostró anteriormente que los gobiernos represivos en Bahrein , Arabia Saudita y más habían utilizado las herramientas del Grupo NSO para rastrear a los críticos del gobierno, activistas y opositores políticos.

También: ‘California Streaming’ el iPhone 13: qué esperar y cómo ver el evento de Apple de hoy

Ivan Krstić, director de Arquitectura e Ingeniería de Seguridad de Apple, dijo a ZDNet que después de identificar la vulnerabilidad utilizada por este exploit para iMessage, Apple “desarrolló e implementó rápidamente una solución en iOS 14.8 para proteger a nuestros usuarios”.

“Nos gustaría felicitar a Citizen Lab por completar con éxito el trabajo muy difícil de obtener una muestra de este exploit para que pudiéramos desarrollar esta solución rápidamente. Ataques como los descritos son altamente sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen un vida útil corta, y se utilizan para dirigirse a individuos específicos “, dijo Krstić.

“Si bien eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, continuamos trabajando incansablemente para defender a todos nuestros clientes y constantemente agregamos nuevas protecciones para sus dispositivos y datos”.

John Scott-Railton, investigador senior de Citizen Lab, habló en Twitter para explicar lo que él y el investigador senior de Citizen Lab, Bill Marczak, encontraron e informaron a Apple. Descubrieron que la vulnerabilidad ha estado en uso desde al menos febrero. Apple les dio crédito por haberlo descubierto.

“En marzo, mi colega Bill Marczak estaba examinando el teléfono de un activista saudí infectado con el software espía Pegasus. Bill hizo una copia de seguridad en ese momento. Un reanálisis reciente arrojó algo interesante: archivos ‘.gif’ de aspecto extraño. La cosa es, los archivos ‘.gif’ … eran en realidad archivos PSD y PDF de Adobe … y explotaron la biblioteca de renderización de imágenes de Apple. ¿Resultado? Explotación silenciosa a través de iMessage. La víctima no ve * nada *, mientras tanto, Pegasus se instala silenciosamente y su dispositivo se convierte en un espía en el bolsillo “, explicó Scott-Railton.

“NSO Group dice que su software espía es solo para atacar a criminales y terroristas. Pero aquí estamos … de nuevo: descubrimos sus hazañas porque fueron utilizadas contra un activista. El descubrimiento es un subproducto inevitable de la venta de software espía a déspotas imprudentes. Popular Las aplicaciones de chat son la parte más vulnerable de la seguridad de los dispositivos. Están en todos los dispositivos y algunas tienen una superficie de ataque innecesariamente grande. Su seguridad debe ser una * máxima * prioridad “.

En un informe más extenso sobre la vulnerabilidad, los investigadores de Citizen Lab dijeron que es “la última de una serie de exploits sin hacer clic vinculados a NSO Group”.

NSO Group se ha enfrentado a una reacción violenta significativa a nivel mundial después de que los investigadores descubrieron que los gobiernos, los delincuentes y otros estaban usando su software espía Pegasus para rastrear tácitamente a miles de periodistas, investigadores, disidentes e incluso líderes mundiales.

“En 2019, WhatsApp corrigió CVE-2019-3568, una vulnerabilidad de cero clic en las llamadas de WhatsApp que NSO Group usó contra más de 1,400 teléfonos en un período de dos semanas durante el cual se observó, y en 2020, NSO Group empleó el KISMET exploit de iMessage sin hacer clic “, dijeron los investigadores.

Dijeron que su último descubrimiento “ilustra aún más que empresas como NSO Group están facilitando el ‘despotismo como servicio’ para las agencias de seguridad gubernamentales que no rinden cuentas”.

“Se necesita desesperadamente la regulación de este mercado en crecimiento, altamente rentable y dañino”, agregaron.

Reuters informó que, dado que las preocupaciones sobre NSO Group se plantearon públicamente a principios de este año, el FBI y otras agencias gubernamentales de todo el mundo han abierto investigaciones sobre sus operaciones. NSO Group tiene su sede en Israel, lo que llevó al gobierno allí a iniciar su propia investigación sobre la empresa.

La compañía diseñó herramientas para sortear específicamente la defensa BlastDoor de Apple que se implementó en iMessage para proteger a los usuarios.

Ryan Polk, asesor principal de políticas de Internet Society, le dijo a ZDNet que el caso Pegasus-NSO es un punto de prueba de las nefastas consecuencias que plantean las puertas traseras de cifrado.

“Las herramientas creadas para romper las comunicaciones cifradas corren intrínsecamente el riesgo de caer en las manos equivocadas, lo que pone en mayor peligro a todos los que confían en el cifrado. Imagine un mundo en el que herramientas como Pegasus vienen integradas en todas las aplicaciones o dispositivos, sin embargo, a diferencia de ahora , las empresas no tienen la opción de eliminarlos y todos los usuarios son el objetivo “, dijo Polk.

“El cifrado de extremo a extremo mantiene a todos a salvo, especialmente a los de comunidades vulnerables, como periodistas, activistas y miembros de la comunidad LGBTQ + en países más conservadores”.

En 2016, la empresa de ciberseguridad Lookout trabajó con Citizen Lab para descubrir Pegasus. Hank Schless, gerente senior de soluciones de seguridad de Lookout, dijo que la herramienta ha seguido evolucionando y adquiriendo nuevas capacidades.

Ahora se puede implementar como un exploit de cero clic, lo que significa que el usuario objetivo ni siquiera tiene que tocar un enlace malicioso para instalar el software de vigilancia, explicó Schless, y agregó que si bien el malware ha ajustado sus métodos de entrega, el La cadena básica de exploits sigue siendo la misma.

“Pegasus se entrega a través de un enlace malicioso que ha sido diseñado socialmente para el objetivo, se explota la vulnerabilidad y el dispositivo se ve comprometido, luego el malware se comunica de nuevo a un servidor de comando y control (C2) que le da al atacante el control libre sobre el Muchas aplicaciones crearán automáticamente una vista previa o caché de enlaces para mejorar la experiencia del usuario “, dijo Schless.

“Pegasus aprovecha esta funcionalidad para infectar silenciosamente el dispositivo”.

Agregó que NSO ha seguido afirmando que el software espía solo se vende a un puñado de comunidades de inteligencia dentro de países que han sido examinados por violaciones de derechos humanos. Pero la reciente exposición de 50.000 números de teléfono vinculados a objetivos de clientes de NSO Group era todo lo que la gente necesitaba para ver bien lo que afirma NSO, agregó.

“Esto ejemplifica lo importante que es para los individuos y las organizaciones empresariales tener visibilidad de los riesgos que presentan sus dispositivos móviles. Pegasus es un ejemplo extremo, pero fácilmente comprensible. Hay innumerables piezas de malware que pueden explotar fácilmente dispositivos y software conocidos. vulnerabilidades para obtener acceso a sus datos más sensibles “, dijo Schless a ZDNet.

Deja una respuesta