Vulnerabilidades 0-day usadas por una empresa egipcia de vigilancia comercial

 (blog.google)
1 puntos por GN⁺ 2023-09-23 | 1 comentarios | Compartir por WhatsApp
  • Google Threat Analysis Group (TAG) y The Citizen Lab descubrieron una cadena de ataque 0-day para iPhone desarrollada por Intellexa, una empresa de vigilancia comercial.
  • Esta cadena de ataque se usa para instalar el spyware Predator de Intellexa en el dispositivo sin que la persona usuaria lo sepa.
  • Apple corrigió los errores como CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993 en iOS 16.7 e iOS 17.0.1, y recomienda a todas las personas usuarias de iOS instalar estos parches lo antes posible.
  • La cadena de ataque se entregó mediante un "ataque de intermediario" (MITM), en el que el atacante intercepta el tráfico web del objetivo y lo redirige a otro sitio web.
  • La cadena de ataque para iOS incluía tres vulnerabilidades: ejecución remota de código inicial en Safari, evasión de PAC y escalamiento local de privilegios en el kernel XNU.
  • Los atacantes también tenían una cadena de ataque para instalar Predator en dispositivos Android en Egipto mediante inyección MITM y enlaces de un solo uso enviados directamente al objetivo.
  • Chrome está impulsando la adopción universal de HTTPS en toda la web como defensa frente a ataques MITM, y cuenta con un "HTTPS-First Mode" que intenta cargar todas las páginas con HTTPS.
  • Esta campaña es un ejemplo del peligro que representan las empresas de vigilancia comercial y de su impacto en la seguridad de quienes usan internet.
  • TAG planea seguir tomando medidas contra la industria del spyware comercial, publicar investigaciones al respecto y colaborar con los sectores público y privado para impulsar este trabajo.
  • The Citizen Lab recibió reconocimiento por la colaboración y las alianzas que permitieron capturar y analizar estos ataques, y se agradeció a Apple por desplegar los parches oportunamente para proteger la seguridad de quienes usan internet.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-23
Comentarios de Hacker News
  • Un artículo sobre el problema de una empresa egipcia de vigilancia comercial que explotó vulnerabilidades 0-day.
  • Se plantean dudas sobre la naturaleza del escape del sandbox en Android, junto con preocupaciones sobre el parche de Chrome.
  • La ruta de ataque fue una campaña dirigida que incluía interceptación de HTTP y enlaces de un solo uso, pero existe la preocupación de que esto pueda usarse ampliamente para construir botnets mediante campañas publicitarias o spam, o para robar credenciales de usuarios.
  • El ataque inyecta la carga útil inicial usando HTTP, pero se sugiere que atacantes patrocinados por Estados podrían potencialmente comprometer una CA o la infraestructura de un CDN.
  • Se plantea la duda de por qué gigantes tecnológicos como Google y Apple no contratan a empleados de empresas de spyware y de firmas de 0-day para encontrar este tipo de vulnerabilidades.
  • Se sospecha que esta vulnerabilidad pudo haber sido utilizada por las autoridades egipcias para hackear el teléfono del candidato presidencial Ahmed El Tantawy.
  • Algunos usuarios están tomando medidas para protegerse, como instalar actualizaciones y usar el modo HTTPS-Only.
  • Se especula que Google pudo haber hecho públicos los dominios que usaba la empresa, lo que podría haber provocado la precipitación de sus acciones.
  • Se menciona que el modo Lockdown de iOS bloqueó esta cadena de ataque.
  • Se plantea la duda de si este ataque seguiría funcionando si JavaScript estuviera deshabilitado por defecto.