Forcedentry: Apple soluciona esta nueva vulnerabilidad usada por el spyware Pegasus

En la investigación realizada por Amnistía Internacional el pasado mes de julio pudimos comprobar que los desarrolladores de Pegasus habían conseguido comprometer incluso a dispositivos que tenían instalada la última versión disponible de iOS, gracias a vulnerabilidades de las que no se tenían constancia hasta la fecha.

Ahora, gracias a una nueva investigación, vemos como este tipo de vulnerabilidades están a la orden del día cuando se trata de conseguir infectar dispositivos Apple e incluso como algunas de ellas no requieren de interacción alguna con el usuario para conseguir comprometer el sistema.

Mediante el análisis del móvil perteneciente a un activista saudí realizado por Citizen Lab el pasado mes de marzo se ha podido encontrar una vulnerabilidad que han llamado Forcedentry que permite ejecutar malware a través de un fallo en iMessage a la hora de procesar ciertos archivos. Este agujero de seguridad habría sido utilizado desde, al menos, el mes de febrero de 2021 por los desarrolladores del spyware Pegasus, software que es utilizado por varios gobiernos para espiar a objetivos concretos.

El peligro de esta vulnerabilidad, como otras tantas usadas anteriormente por Pegasus, radica en que el usuario no tiene que pulsar sobre un enlace ni abrir ningún fichero. Toda la cadena de infección se realiza de forma invisible al usuario y este no puede saber si ha sido infectado a menos que realice un análisis forense exhaustivo del dispositivo.

Además, la vulnerabilidad afecta a dispositivos iOS, MacOS y WatchOS, por lo que todos los iPhones con versiones de iOS anteriores a la 14.8, ordenadores Mac con versiones de OSX anteriores a Big Sur 11.6 (actualización de seguridad 2021-005 Catalina) y todos los Apple Watch con watchOS 7.6.2 son vulnerables. Apple lanzó estas actualizaciones el pasado 13 de septiembre de 2021, por lo que se recomienda encarecidamente aplicarlas en nuestros dispositivos.

Atribuciones y casos anteriores

Cuando se descubren este tipo de vulnerabilidades siendo aprovechadas activamente se debe ir con cuidado a la hora de realizar las atribuciones ya que siempre existe el riesgo de que estemos ante un ataque de falsa bandera. Sin embargo, en esta ocasión los investigadores detectaron varios elementos distintivos que han sido claves para atribuir la utilización de esta vulnerabilidad por NSO Group.

El primero de estos puntos clave es que el spyware instalado aprovechando la vulnerabilidad Forcedentry muestra un fallo a la hora de eliminar de forma completa evidencias desde el archivo DataUsage.sqlite y que se conoce como Cascadefail. Este error tan solo ha sido observado anteriormente asociado al spyware Pegasus, por lo que es lo suficientemente relevante como para atribuir la explotación de la nueva vulnerabilidad a NSO Group.

Además, el spyware que se instala aprovechando la vulnerabilidad Forcedentry varios nombres de procesos, incluyendo el de “setframed”. Este nombre de proceso fue utilizado en un ataque en el que se utilizó Pegasus para infectar el dispositivos de un periodista de Al Jazeera en Julio de 2020.

Tampoco es la primera vez que vemos como NSO Group utiliza exploits que no necesitan interacción alguna del usuario, con ejemplos como la vulnerabilidad en WhatsApp descubierta en 2019 u otras vulnerabilidades anteriores en iMessage como el exploit Kismet. De hecho, el parche aplicado por Apple en iOS14 frente al exploit Kismet es posible que fuera el detonante para el desarrollo de ForcedEntry.

Conclusión

Cuando hablamos de este tipo de vulnerabilidades hemos de tener en cuenta que, originalmente, no se utilizan de forma masiva, sino que se emplean contra objetivos concretos de especial interés. No obstante, una vez se publican los detalles de las vulnerabilidades existe la posibilidad de que algunos delincuentes traten de utilizarlas con otros motivos diferentes al espionaje, por lo que siempre es recomendable mantener nuestros dispositivos actualizados para evitar problemas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .