Su iPhone puede ser vulnerado simplemente visitando un sitio web de aspecto inocente, confirma un informe aterrador que los investigadores de Google publicaron hoy.
La historia se remonta a una campaña generalizada de hackeo de iPhone que los investigadores de ciberseguridad del Proyecto Zero de Google descubrieron a principios de este año, que involucra al menos cinco cadenas de explotación de iPhone únicas capaces de liberar remotamente un iPhone e implantar spyware en él.
Según una publicación de blog de inmersión profunda publicada por el investigador del Proyecto Zero Ian Beer, solo dos de las 14 vulnerabilidades de seguridad eran de día cero, CVE-2019-7287 y CVE-2019-7286, y sin parches en el momento del descubrimiento, y sorprendentemente , la campaña permaneció sin ser detectada durante al menos dos años.
Trabajando con TAG, descubrimos exploits para un total de catorce vulnerabilidades en las cinco cadenas de exploits: siete para el navegador web del iPhone, cinco para el kernel y dos escapes de sandbox separados. El análisis inicial indicó que al menos una de las cadenas de escalada de privilegios todavía era de día cero y sin parches en el momento del descubrimiento (CVE-2019-7287 y CVE-2019-7286). Reportamos estos problemas a Apple con un plazo de 7 días el 1 de febrero de 2019, lo que resultó en el lanzamiento fuera de banda de iOS 12.1.4 el 7 de febrero de 2019. También compartimos los detalles completos con Apple, que se divulgaron públicamente el 7 feb 2019 .
Ahora, como explicó el investigador de Google, el ataque se estaba llevando a cabo a través de una pequeña colección de sitios web pirateados con miles de visitantes por semana, dirigidos a todos los usuarios de iOS que aterrizan en esos sitios web sin discriminación.
"Simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo, y si fue exitoso, instale un implante de monitoreo", dice Beer.
Una vez que un usuario de iPhone visitó uno de los sitios web pirateados a través del vulnerable navegador web Safari, activó exploits WebKit para cada cadena de exploits en un intento de establecerse inicialmente en el dispositivo iOS del usuario y organizar los exploits de escalada de privilegios para obtener aún más acceso a la raíz de el dispositivo.
Los exploits del iPhone se usaron para implementar un implante diseñado principalmente para robar archivos como iMessages, fotos y datos de ubicación de GPS en vivo de los usuarios, y subirlos a un servidor externo cada 60 segundos.
"No hay un indicador visual en el dispositivo de que informe que el implante se está ejecutando. No hay forma de que un usuario en iOS vea una lista de procesos, por lo que el binario del implante no intenta ocultar su ejecución del sistema", explica Beers.
El implante de software espía también robó los archivos de la base de datos del dispositivo de la víctima que utilizan las populares aplicaciones de cifrado de extremo a extremo como Whatsapp, Telegram e iMessage para almacenar datos, incluidos los chats privados en texto sin formato.
Además, el implante también tenía acceso a los datos del llavero del dispositivo de los usuarios que contenían credenciales, tokens de autenticación y certificados utilizados en y por el dispositivo.
"El llavero también contiene los tokens de larga duración utilizados por servicios como el inicio de sesión único de iOS de Google para permitir que las aplicaciones de Google accedan a la cuenta del usuario. Estos se cargarán a los atacantes y luego se pueden usar para mantener el acceso al usuario Cuenta de Google, incluso una vez que el implante ya no se está ejecutando ", dice Beers.
Si bien el implante se eliminaría automáticamente de un iPhone infectado al reiniciar, sin dejar rastro de sí mismo, visitar el sitio pirateado nuevamente reinstalaría el implante.
Fuente: THN
