- Durante la revisión del iPhone de un empleado de una organización internacional de la sociedad civil con sede en Washington D. C., se descubrió una vulnerabilidad explotada activamente que entregaba el spyware Pegasus de NSO Group
- Esta cadena de exploits, llamada BLASTPASS por Citizen Lab, podía comprometer un iPhone incluso con la versión más reciente iOS 16.6, sin interacción de la víctima
- El atacante intentaba una infección zero-click enviando por iMessage un archivo adjunto de PassKit con una imagen maliciosa; Citizen Lab adelantó que publicará análisis adicionales
- Citizen Lab compartió de inmediato sus hallazgos con Apple, y Apple asignó las vulnerabilidades relacionadas como CVE-2023-41064 y CVE-2023-41061
- Las actualizaciones de Apple aplican a iPhone, iPad, Mac y Apple Watch, y Citizen Lab junto con el equipo de Apple Security Engineering and Architecture consideran que Lockdown Mode bloquea este ataque
Cadena de exploits BLASTPASS
- Citizen Lab descubrió una vulnerabilidad zero-click explotada en la práctica mientras revisaba el dispositivo de un empleado de una organización de la sociedad civil con sede en Washington D. C. y oficinas internacionales
- Esta vulnerabilidad se usó para entregar el spyware mercenario Pegasus de NSO Group
- Citizen Lab nombró esta cadena de exploits como BLASTPASS
- BLASTPASS podía comprometer un iPhone con la versión más reciente iOS 16.6 sin interacción de la víctima
- El ataque consistía en enviar a la víctima un archivo adjunto de PassKit desde la cuenta de iMessage del atacante
- El archivo adjunto contenía una imagen maliciosa
- La documentación relacionada puede consultarse en PassKit
- Citizen Lab publicará en el futuro una discusión más detallada sobre la cadena de exploits
Divulgación a Apple y CVE
- Citizen Lab compartió de inmediato sus hallazgos con Apple y colaboró con la investigación de Apple
- Apple asignó dos CVE relacionadas con esta cadena de exploits
-
CVE-2023-41064
- CVE-2023-41061
-
Actualizar de inmediato y Lockdown Mode
- Citizen Lab recomienda a todos los usuarios actualizar sus dispositivos de inmediato
- Apple publicó actualizaciones para productos Apple, incluidos iPhone, iPad, Mac y Apple Watch
- A los usuarios que puedan estar expuestos a un mayor riesgo por su identidad o actividades se les recomienda activar Lockdown Mode
- Citizen Lab y el equipo de Apple Security Engineering and Architecture consideran que Lockdown Mode bloquea este ataque específico
- Citizen Lab valoró positivamente la rápida respuesta investigativa de Apple y su ciclo de parches, y reconoció la cooperación y el apoyo de la víctima y de su organización
Señal de seguridad que muestra el ataque a la sociedad civil
- Este hallazgo vuelve a demostrar que la sociedad civil es blanco de exploits sofisticados y spyware mercenario
- Las actualizaciones de Apple protegerán dispositivos de usuarios generales, empresas y gobiernos en todo el mundo
- El descubrimiento de BLASTPASS subraya que apoyar a organizaciones de la sociedad civil tiene un gran valor para la ciberseguridad colectiva
Historial de actualizaciones
- La publicación se actualizó el 7 de septiembre a las 5:42 p. m., hora del Este
- La actualización refleja que el equipo de Apple Security Engineering and Architecture y Citizen Lab consideran que Lockdown Mode bloquea este ataque específico
1 comentarios
Opiniones de Hacker News
Se habla mucho de Apple y del software, pero muy poco de por qué NSO Group puede existir.
Operan casi abiertamente y no parecen avergonzarse. Si no, no pondrían esto en sus currículums: https://www.linkedin.com/company/nso-group/people/
Viendo esto, parece que la “comunidad tecnológica” acepta con demasiada facilidad este uso de la tecnología. Esa tecnología que creemos que “hará del mundo un lugar mejor”.
NSO parece estar respaldada por el gobierno de Israel. Dicen que solo venden a gobiernos previamente evaluados, pero en la práctica muchas veces venden a países autoritarios que vigilan y persiguen a quienes se oponen al régimen.
La razón por la que NSO Group es mala es que vendió a regímenes represivos y se le acusa de haber apoyado activamente el despliegue del software para que esos regímenes dañaran a civiles inocentes. Por esos actos, intenciones y fallas en la gestión de responsabilidades deberían ser sancionados y, si no recuerdo mal, ya están bajo sanciones.
Eso sí, hay muchas excepciones, como que el vendedor y el comprador actúen de buena fe y planeen usarlo solo conforme a la ley. Esto no es asesoría legal.
No hay motivo para esperar que el mundo se desarme pronto, así que lo mejor es estar conscientes, influir democráticamente en las políticas y eliminar las malas ideas y a los malos actores.
Israel sigue intentando atraer a Arabia Saudita para crear alianzas ante una posible guerra con Irán. Con tal de conseguir permiso para cruzar el espacio aéreo saudita, sin duda sacrificarían a unos cuantos activistas de derechos humanos. Aunque últimamente parece que las cosas no le están saliendo muy bien a Israel.
En realidad, la comunidad tecnológica es muy diversa y no está cohesionada en absoluto. Por ejemplo, muchos desarrolladores apenas logran cubrir sus gastos básicos, así que ni siquiera tienen el espacio mental para saber qué es NSO.
Es interesante lo mucho que se insiste en que Lockdown Mode no debe usarse salvo que seas periodista o alguien en un peligro directo y evidente. En la práctica, para el usuario no hay una gran diferencia de funciones; más bien desactiva varias cosas innecesarias de Apple que corren en segundo plano y amplían la superficie de ataque.
Aun así, todos repiten la salvedad de que “no cualquiera debería usarlo, solo personas especiales”. No es un recurso escaso ni un juego de suma cero. Al contrario, si todos lo usaran, se desactivarían muchas funciones que no aportan beneficios al usuario, se ahorraría batería y, cuanto más se usara, más difícil sería usarlo para identificar a usuarios específicos.
Apple seguramente quiere evitar que iOS se sienta más lento o torpe que Android. Además, el spyware de día cero suele apuntar a personas importantes más que a vigilancia masiva, así que el riesgo real para un individuo es bajo.
Sería bueno tener un modo intermedio entre ambos. Algo que permita bajar la seguridad durante unos minutos cuando se necesite una función. Por ejemplo, si Safari detecta que JavaScript está lento, podría preguntar si quieres volver a activar JIT.
Desde una perspectiva de política real, es posible que regímenes represivos hayan permitido que Apple lanzara dispositivos con esta función a condición de no promocionarla activamente ni activarla por defecto. Si en China Lockdown Mode viniera activado por defecto y la mayoría lo usara, Apple sería expulsada de China muy rápido.
Tampoco noté diferencias en contenido web, aunque quizá sea porque uso Firefox/Chrome en lugar de Safari. Lo que realmente quiero son opciones. Por ejemplo, en iOS uso álbumes de fotos compartidos, así que me gustaría poder mantener esa función y desactivar solo las demás.
Para empezar, Continuity parece romperse casi por completo, y personalmente dependo bastante de esa función. AirPlay también se vuelve bastante caprichoso.
Todo podría ser un problema de red, pero solo empezó después de cambiar a Lockdown Mode. Además, que no funcionen las solicitudes de Tiempo en pantalla también es bastante molesto.
¿Cuántas vulnerabilidades ha tenido iMessage hasta ahora?
¿No será hora de permitir solo texto puro en el primer mensaje de contactos nuevos, y que el resto de los mensajes también solo permitan un subconjunto muy limitado, en lugar de un sistema de extensiones delirante que no es muy distinto de ActiveX?
También valdría la pena considerar ejecutar toda la app dentro de un sandbox y procesarlo todo en una webview como capa adicional de protección.
iMessage debería comportarse exactamente igual por la misma razón. Es frustrante ver cómo product managers codiciosos que trabajan en el mismo edificio vuelven a aprender lecciones que la generación anterior aprendió con dolor.
La respuesta no debería ser “no rendericemos imágenes”. Deberíamos poder confiar en que los componentes que parsean datos externos, como imágenes, no puedan realizar acciones maliciosas sin importar cuál sea la entrada.
Si hace falta sandboxing, que se haga; y si hay que reescribir todos los parsers de imágenes desde cero en un lenguaje seguro o demostrar formalmente su corrección, que se haga. Apple tiene dinero suficiente para financiar su propio programa espacial diez veces, así que también debería poder crear bibliotecas de imágenes demostrablemente seguras.
iMessage ha tenido un puñado de exploits, licenciados por lugares como NSO a precios extremadamente altos a un número ínfimo de actores estatales de mala reputación, para ataques dirigidos contra objetivos de altísimo riesgo.
Lo encontré. Para quien le interese: en el iPhone, vayan a Settings, toquen Messages y pongan iMessage en Off.
Otro buffer overflow en decodificación de imágenes; suena parecido a la vulnerabilidad de 2021 [1].
Esa vez fue realmente intensa. Construyeron una CPU a partir de las operaciones primitivas que ofrecía un formato oscuro de compresión de imágenes incluido en un PDF, y realizaron suficientes operaciones aritméticas como para escalar hasta ejecución arbitraria de código.
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
No me malinterpreten. Creo que JPEG-XL es una buena idea, pero esta es la respuesta para quienes dicen “¿qué daño puede hacer soportar un formato de imagen más?”.
Esta corrección salió hoy y parece haber sido coordinada con el anuncio, así que hay que verificar que ustedes y la gente a su alrededor hayan actualizado.
https://support.apple.com/en-us/HT201222
Hasta donde sé, todo el código de parsing de iMessage debería ejecutarse dentro del sandbox BlastDoor; ¿habrá otra vulnerabilidad encadenada que no se haya divulgado?
Claramente no bastó con poner a NSO Group en la lista negra del Departamento de Comercio. Esta basura debería ir, al menos metafóricamente, a La Haya.
Si les interesan NSO Group, Pegasus y Citizen Lab, el episodio 100 del podcast Darknet Diaries hace un buen repaso histórico.
Link para quien tenga curiosidad: https://darknetdiaries.com/episode/100/
Hace falta un Lockdown Mode más granular. Por ejemplo, desactivar la automatización y los factores de riesgo de iMessage y Safari, pero permitir que los accesorios del dispositivo sigan funcionando.
No está bueno perder también los accesorios Bluetooth solo para protegerse de exploits cero clic de iMessage. iMessage es la superficie de ataque más expuesta.
Por ejemplo, Settings > Messages > iMessage es un interruptor que puedes apagar si sientes que iMessage es el problema.
En Settings > Safari > Privacy and security también hay varias opciones para configurar un bloqueo más granular para Safari.
Me pregunto si Lockdown Mode habría detenido este ataque.
¿Hasta ahora, alguna vez se ha hackeado un iPhone en Lockdown Mode mediante una vulnerabilidad zero-day? Excluyendo los casos en que se engañó al usuario para que instalara malware.
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
Enlace de CL: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
Hilo relacionado en curso:
iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - septiembre de 2023, 7 comentarios