1 puntos por GN⁺ 2023-09-08 | 1 comentarios | Compartir por WhatsApp
  • Durante la revisión del iPhone de un empleado de una organización internacional de la sociedad civil con sede en Washington D. C., se descubrió una vulnerabilidad explotada activamente que entregaba el spyware Pegasus de NSO Group
  • Esta cadena de exploits, llamada BLASTPASS por Citizen Lab, podía comprometer un iPhone incluso con la versión más reciente iOS 16.6, sin interacción de la víctima
  • El atacante intentaba una infección zero-click enviando por iMessage un archivo adjunto de PassKit con una imagen maliciosa; Citizen Lab adelantó que publicará análisis adicionales
  • Citizen Lab compartió de inmediato sus hallazgos con Apple, y Apple asignó las vulnerabilidades relacionadas como CVE-2023-41064 y CVE-2023-41061
  • Las actualizaciones de Apple aplican a iPhone, iPad, Mac y Apple Watch, y Citizen Lab junto con el equipo de Apple Security Engineering and Architecture consideran que Lockdown Mode bloquea este ataque

Cadena de exploits BLASTPASS

  • Citizen Lab descubrió una vulnerabilidad zero-click explotada en la práctica mientras revisaba el dispositivo de un empleado de una organización de la sociedad civil con sede en Washington D. C. y oficinas internacionales
  • Esta vulnerabilidad se usó para entregar el spyware mercenario Pegasus de NSO Group
  • Citizen Lab nombró esta cadena de exploits como BLASTPASS
  • BLASTPASS podía comprometer un iPhone con la versión más reciente iOS 16.6 sin interacción de la víctima
  • El ataque consistía en enviar a la víctima un archivo adjunto de PassKit desde la cuenta de iMessage del atacante
    • El archivo adjunto contenía una imagen maliciosa
    • La documentación relacionada puede consultarse en PassKit
  • Citizen Lab publicará en el futuro una discusión más detallada sobre la cadena de exploits

Divulgación a Apple y CVE

  • Citizen Lab compartió de inmediato sus hallazgos con Apple y colaboró con la investigación de Apple
  • Apple asignó dos CVE relacionadas con esta cadena de exploits
    • CVE-2023-41064

      • CVE-2023-41061

Actualizar de inmediato y Lockdown Mode

  • Citizen Lab recomienda a todos los usuarios actualizar sus dispositivos de inmediato
  • Apple publicó actualizaciones para productos Apple, incluidos iPhone, iPad, Mac y Apple Watch
  • A los usuarios que puedan estar expuestos a un mayor riesgo por su identidad o actividades se les recomienda activar Lockdown Mode
  • Citizen Lab y el equipo de Apple Security Engineering and Architecture consideran que Lockdown Mode bloquea este ataque específico
  • Citizen Lab valoró positivamente la rápida respuesta investigativa de Apple y su ciclo de parches, y reconoció la cooperación y el apoyo de la víctima y de su organización

Señal de seguridad que muestra el ataque a la sociedad civil

  • Este hallazgo vuelve a demostrar que la sociedad civil es blanco de exploits sofisticados y spyware mercenario
  • Las actualizaciones de Apple protegerán dispositivos de usuarios generales, empresas y gobiernos en todo el mundo
  • El descubrimiento de BLASTPASS subraya que apoyar a organizaciones de la sociedad civil tiene un gran valor para la ciberseguridad colectiva

Historial de actualizaciones

  • La publicación se actualizó el 7 de septiembre a las 5:42 p. m., hora del Este
  • La actualización refleja que el equipo de Apple Security Engineering and Architecture y Citizen Lab consideran que Lockdown Mode bloquea este ataque específico

1 comentarios

 
GN⁺ 2023-09-08
Opiniones de Hacker News
  • Se habla mucho de Apple y del software, pero muy poco de por qué NSO Group puede existir.
    Operan casi abiertamente y no parecen avergonzarse. Si no, no pondrían esto en sus currículums: https://www.linkedin.com/company/nso-group/people/
    Viendo esto, parece que la “comunidad tecnológica” acepta con demasiada facilidad este uso de la tecnología. Esa tecnología que creemos que “hará del mundo un lugar mejor”.

    • El documental de PBS sobre NSO y Pegasus es bueno: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO parece estar respaldada por el gobierno de Israel. Dicen que solo venden a gobiernos previamente evaluados, pero en la práctica muchas veces venden a países autoritarios que vigilan y persiguen a quienes se oponen al régimen.
    • Como NSO dice que solo apunta a “terroristas y criminales”, si eres un ciudadano respetuoso de la ley y no tienes nada que ocultar, no habría nada de qué preocuparse, ¿verdad? Porque seguramente no existen regímenes en el mundo donde hacer periodismo de investigación o política opositora baste para ser acusado de criminal o terrorista.
    • Entre entidades estadounidenses, vender malware/armas de software suele ser legal en general, con una gran excepción: si cae bajo regulación ITAR, solo se puede vender al gobierno de EE. UU. o a proveedores aprobados por ITAR, salvo que sea open source.
      La razón por la que NSO Group es mala es que vendió a regímenes represivos y se le acusa de haber apoyado activamente el despliegue del software para que esos regímenes dañaran a civiles inocentes. Por esos actos, intenciones y fallas en la gestión de responsabilidades deberían ser sancionados y, si no recuerdo mal, ya están bajo sanciones.
      Eso sí, hay muchas excepciones, como que el vendedor y el comprador actúen de buena fe y planeen usarlo solo conforme a la ley. Esto no es asesoría legal.
    • Muchas de estas cosas se clasifican como armas, así que en la práctica es más parecido a que las venda el gobierno israelí que una empresa. No es distinto de los MANPADS, que pueden usarse para derribar un Ka-52 en Ucrania o para derribar un avión comercial civil, y cuyo rumbo queda determinado por la política exterior del país fabricante y sus fracasos.
      No hay motivo para esperar que el mundo se desarme pronto, así que lo mejor es estar conscientes, influir democráticamente en las políticas y eliminar las malas ideas y a los malos actores.
      Israel sigue intentando atraer a Arabia Saudita para crear alianzas ante una posible guerra con Irán. Con tal de conseguir permiso para cruzar el espacio aéreo saudita, sin duda sacrificarían a unos cuantos activistas de derechos humanos. Aunque últimamente parece que las cosas no le están saliendo muy bien a Israel.
    • Da la impresión de que se ve a la “comunidad tecnológica” como un grupo cohesionado con capacidad organizativa para orientarla en una dirección concreta.
      En realidad, la comunidad tecnológica es muy diversa y no está cohesionada en absoluto. Por ejemplo, muchos desarrolladores apenas logran cubrir sus gastos básicos, así que ni siquiera tienen el espacio mental para saber qué es NSO.
  • Es interesante lo mucho que se insiste en que Lockdown Mode no debe usarse salvo que seas periodista o alguien en un peligro directo y evidente. En la práctica, para el usuario no hay una gran diferencia de funciones; más bien desactiva varias cosas innecesarias de Apple que corren en segundo plano y amplían la superficie de ataque.
    Aun así, todos repiten la salvedad de que “no cualquiera debería usarlo, solo personas especiales”. No es un recurso escaso ni un juego de suma cero. Al contrario, si todos lo usaran, se desactivarían muchas funciones que no aportan beneficios al usuario, se ahorraría batería y, cuanto más se usara, más difícil sería usarlo para identificar a usuarios específicos.

    • iOS sí se vuelve un poco más incómodo. Por ejemplo, al agregarse mutuamente en iMessage, y el rendimiento de JavaScript en Safari también se reduce mucho.
      Apple seguramente quiere evitar que iOS se sienta más lento o torpe que Android. Además, el spyware de día cero suele apuntar a personas importantes más que a vigilancia masiva, así que el riesgo real para un individuo es bajo.
      Sería bueno tener un modo intermedio entre ambos. Algo que permita bajar la seguridad durante unos minutos cuando se necesite una función. Por ejemplo, si Safari detecta que JavaScript está lento, podría preguntar si quieres volver a activar JIT.
    • Si no quisieran que la gente usara funciones en segundo plano, no las habrían incluido desde el principio. No sorprende que Apple quiera que los usuarios usen funciones que incluyó intencionalmente, sean “inútiles” o no.
    • Desde una perspectiva capitalista, si no lo enfatizan con fuerza, un cliente que usa Apple por primera vez podría activar Lockdown Mode por defecto por recomendación de un amigo o familiar preocupado, y luego quejarse con Apple de que las funciones anunciadas no funcionan o devolver el dispositivo.
      Desde una perspectiva de política real, es posible que regímenes represivos hayan permitido que Apple lanzara dispositivos con esta función a condición de no promocionarla activamente ni activarla por defecto. Si en China Lockdown Mode viniera activado por defecto y la mayoría lo usara, Apple sería expulsada de China muy rápido.
    • En Mac uso Lockdown Mode porque no uso iMessage, FaceTime ni otros servicios de Apple. Básicamente es una computadora para desarrollo de software y videos de YouTube.
      Tampoco noté diferencias en contenido web, aunque quizá sea porque uso Firefox/Chrome en lugar de Safari. Lo que realmente quiero son opciones. Por ejemplo, en iOS uso álbumes de fotos compartidos, así que me gustaría poder mantener esa función y desactivar solo las demás.
    • Al activar Lockdown Mode, varias cosas se pusieron bastante raras.
      Para empezar, Continuity parece romperse casi por completo, y personalmente dependo bastante de esa función. AirPlay también se vuelve bastante caprichoso.
      Todo podría ser un problema de red, pero solo empezó después de cambiar a Lockdown Mode. Además, que no funcionen las solicitudes de Tiempo en pantalla también es bastante molesto.
  • ¿Cuántas vulnerabilidades ha tenido iMessage hasta ahora?
    ¿No será hora de permitir solo texto puro en el primer mensaje de contactos nuevos, y que el resto de los mensajes también solo permitan un subconjunto muy limitado, en lugar de un sistema de extensiones delirante que no es muy distinto de ActiveX?
    También valdría la pena considerar ejecutar toda la app dentro de un sandbox y procesarlo todo en una webview como capa adicional de protección.

    • Ya hay un precedente aplicado de forma fluida. El cliente Apple Mail no renderiza medios de remitentes desconocidos sin confirmación del usuario.
      iMessage debería comportarse exactamente igual por la misma razón. Es frustrante ver cómo product managers codiciosos que trabajan en el mismo edificio vuelven a aprender lecciones que la generación anterior aprendió con dolor.
    • Todavía no puedo creer que esto siga repitiéndose. Cuando dicen “cero clic”, uno ya sabe que se trata de algún payload complejo, como una imagen o una fuente.
      La respuesta no debería ser “no rendericemos imágenes”. Deberíamos poder confiar en que los componentes que parsean datos externos, como imágenes, no puedan realizar acciones maliciosas sin importar cuál sea la entrada.
      Si hace falta sandboxing, que se haga; y si hay que reescribir todos los parsers de imágenes desde cero en un lenguaje seguro o demostrar formalmente su corrección, que se haga. Apple tiene dinero suficiente para financiar su propio programa espacial diez veces, así que también debería poder crear bibliotecas de imágenes demostrablemente seguras.
    • Esto es muy distinto de ActiveX. Con ActiveX, cientos de exploits circulaban libremente por los rincones oscuros de Usenet, y los típicos script kiddies de sótano los usaban contra computadoras de todo el mundo.
      iMessage ha tenido un puñado de exploits, licenciados por lugares como NSO a precios extremadamente altos a un número ínfimo de actores estatales de mala reputación, para ataques dirigidos contra objetivos de altísimo riesgo.
    • Todos los procesos de iOS se ejecutan en un sandbox. Por eso es tan difícil crear exploits como estos.
    • Me preguntaba si realmente se podía desactivar iMessage en un iPhone. Ahora solo uso WhatsApp y no me interesa el SMS reforzado.
      Lo encontré. Para quien le interese: en el iPhone, vayan a Settings, toquen Messages y pongan iMessage en Off.
  • Otro buffer overflow en decodificación de imágenes; suena parecido a la vulnerabilidad de 2021 [1].
    Esa vez fue realmente intensa. Construyeron una CPU a partir de las operaciones primitivas que ofrecía un formato oscuro de compresión de imágenes incluido en un PDF, y realizaron suficientes operaciones aritméticas como para escalar hasta ejecución arbitraria de código.
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • También me recuerda al bug de renderizado de TIF en iOS 4 que usaba jailbreakme.com hace años. Fue genial tocar un botón en Safari y ver cómo mi iPod touch se reiniciaba con Cydia instalado.
    • Por eso ahora entiendo más que Chrome todavía no adopte JPEG-XL.
      No me malinterpreten. Creo que JPEG-XL es una buena idea, pero esta es la respuesta para quienes dicen “¿qué daño puede hacer soportar un formato de imagen más?”.
    • Otra vez un buffer overflow en decodificación de imágenes. Uno pensaría que Apple haría threat modeling y llevaría el fuzzing hasta el final, pero no. Una empresa con una capitalización bursátil de 2.7 billones de dólares no puede hacerlo.
    • Quizá sea una pregunta tonta, pero ¿por qué los decodificadores multimedia, tristemente famosos por ser de alto riesgo, no están bien aislados en sandbox?
    • No sé mucho de seguridad, pero creo que esto nunca se me va a olvidar. Es fascinante.
  • Esta corrección salió hoy y parece haber sido coordinada con el anuncio, así que hay que verificar que ustedes y la gente a su alrededor hayan actualizado.
    https://support.apple.com/en-us/HT201222

    • Curiosamente, no se menciona nada como una vulnerabilidad del kernel.
      Hasta donde sé, todo el código de parsing de iMessage debería ejecutarse dentro del sandbox BlastDoor; ¿habrá otra vulnerabilidad encadenada que no se haya divulgado?
    • Me pregunto por qué todavía no hay una corrección para iOS 15. ¿iOS 15 no es vulnerable a este ataque? ¿O es que los backports de correcciones de seguridad a veces se demoran y yo no lo sabía? Si es así, ¿debería aplicar alguna mitigación para evitar este exploit?
  • Claramente no bastó con poner a NSO Group en la lista negra del Departamento de Comercio. Esta basura debería ir, al menos metafóricamente, a La Haya.

  • Si les interesan NSO Group, Pegasus y Citizen Lab, el episodio 100 del podcast Darknet Diaries hace un buen repaso histórico.

  • Hace falta un Lockdown Mode más granular. Por ejemplo, desactivar la automatización y los factores de riesgo de iMessage y Safari, pero permitir que los accesorios del dispositivo sigan funcionando.
    No está bueno perder también los accesorios Bluetooth solo para protegerse de exploits cero clic de iMessage. iMessage es la superficie de ataque más expuesta.

    • iMessage también es una parte importante del foso defensivo de Apple. Es poco probable que Apple permita apps alternativas de mensajería con burbuja verde que tal vez podrían ser más seguras.
    • Settings ya incluye opciones para “ajustar Lockdown Mode” según tus preferencias.
      Por ejemplo, Settings > Messages > iMessage es un interruptor que puedes apagar si sientes que iMessage es el problema.
      En Settings > Safari > Privacy and security también hay varias opciones para configurar un bloqueo más granular para Safari.
  • Me pregunto si Lockdown Mode habría detenido este ataque.
    ¿Hasta ahora, alguna vez se ha hackeado un iPhone en Lockdown Mode mediante una vulnerabilidad zero-day? Excluyendo los casos en que se engañó al usuario para que instalara malware.

  • Hilo relacionado en curso:
    iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - septiembre de 2023, 7 comentarios