La divulgación de anoche por Google de que sitios web maliciosos colocan con éxito software espía en miles de iPhones no es solo una noticia de un día. Cambia totalmente el juego con respecto a la seguridad de iOS.

Durante los últimos 12 años, iOS ha sido el estándar de oro en seguridad del sistema operativo, un estándar al que los desarrolladores de Android, macOS y Windows solo podían aspirar. Podrías usar los dedos de una mano para contar las instancias de malware iOS encontrado en la naturaleza que funcionó en iPhones sin jailbreak, alguna vez.

Podrías confiar en iOS para mantenerte a salvo, a menos que fueras un disidente de alto perfil en un país represivo pero bastante rico. Es posible que no le preocupe que Apple no permita ni necesite tener software antivirus.

Hoy en día, la cantidad de exploits de iOS que funcionan en estado salvaje prácticamente se duplicó. De repente, iOS no parece tan seguro. Si un grupo relativamente descuidado de piratas informáticos del estado nacional pudiera comprometer indiscriminadamente los iPhones durante más de dos años, incluidos los teléfonos con las últimas versiones de iOS, ¿cuántas otras campañas de piratería de iOS existen todavía? ¿ahí?

"Para esta campaña que hemos visto, es casi seguro que hay otras que aún no se han visto", la publicación del blog Google Project Zero revelando la campaña de malware, dijo.

"Esto es bastante aterrador", escribió el investigador de seguridad de Malwarebytes. Thomas Reed en Twitter. "Las infecciones de iPhone son más aterradoras, porque no hay absolutamente ninguna forma de identificar si su teléfono está infectado sin la ayuda de un experto... e incluso entonces, ¡quizás no! "

Sin rodeos: ¿Qué tan seguro es tu iPhone ahora? Parece mucho menos seguro que ayer.

MÁS: El mejor software antivirus para Mac

¿Entonces qué pasó?

Para ponerte al día, el investigador de Google Project Zero, Ian Beer, publicó una serie de publicaciones de blog largas anoche alrededor de las 8 p.m. Hora del este, o medianoche GMT, que detalla cómo lo había hecho el Grupo de análisis de amenazas de Google a principios de este año "descubrió una pequeña colección de sitios web pirateados" que se estaban utilizando en "ataques indiscriminados de abrevadero" contra el iPhone usuarios.

Reed, en una publicación de blog de Malwarebytes más tarde el viernes, resumió lo que el software espía implantado en los iPhones podría robar: "todos los llaveros, fotos, mensajes SMS, mensajes de correo electrónico, contactos, notas, y grabaciones "y" las transcripciones de chat sin cifrar de varios de los principales clientes de mensajería cifrada de extremo a extremo, incluidos Mensajes, WhatsApp y Telegrama."

Project Zero echó un vistazo a los sitios web y el software espía, descubrió lo que estaba pasando y se lo contó a Apple. Apple corrigió las fallas subyacentes que hicieron posibles los ataques en una semana, con iOS 12.1.4 en febrero. 7. (Otras fallas utilizadas en los ataques ya habían sido reparadas, pero algunos iPhones aún eran vulnerables a ellas).

¿Problema resuelto? A corto plazo, sí. Pero el hecho de que esto haya durado tanto tiempo sin que nadie se dé cuenta, y menos Apple, es lo que realmente preocupa.

¿Un cambio de mercado?

Hasta ahora, se pensaba que los exploits de iOS que funcionaban eran tan raros y costosos que incluso los atacantes estatales bien financiados podían usarlos solo con moderación y solo contra los objetivos de más alto nivel.

Beer hace una referencia críptica a "el disidente del millón de dólares"en su artículo introductorio. Se refiere a un activista de derechos humanos en los Emiratos Árabes Unidos que en 2016 fue atacado por alguien que intentaba que hiciera clic en un sitio web con trampas explosivas que utilizó un exploit de iOS previamente desconocido para "hacer jailbreak" al iPhone del visitante para que el software espía pudiera ser fácilmente instalado.

Estos exploits de iOS de "un clic" que no requieren ninguna acción por parte del objetivo, y ninguna indicación de que el dispositivo haya sido comprometido, se han vendido de forma privada por hasta un millón de dólares. Pero su vida útil es corta, porque si se descubren, se reparan rápidamente, como sucedió en el caso de el activista de derechos humanos de los Emiratos Árabes Unidos: Apple reparó contra el exploit tres semanas después de que el activista encontrara eso.

Sin embargo, los sitios web encontrados por los investigadores de Google utilizaron 14 vulnerabilidades de iOS diferentes, unidas de diferentes maneras para crear no menos de cinco exploits de iOS con un solo clic, y corrompió varios sitios web que atacaron no los iPhones de una o algunas personas específicas que fueron atraídas específicamente a esos sitios, sino los iPhones de cualquiera que visitara sitios.

Beer estimó que estos sitios "reciben miles de visitantes por semana". Su uso del tiempo presente sugiere que los sitios todavía están en funcionamiento.

También señaló que la implementación de los exploits fue de mala calidad. Los atacantes no hicieron ningún esfuerzo por encriptar los datos que su software espía enviaba a los servidores de los atacantes, ni por disfrazar los servidores a los que iban los datos. Cualquiera con una copia de Wireshark podría haber "olfateado" los datos sin cifrar que salen a través de una red Wi-Fi.

"Si bien los exploits son muy complejos, el implante es un material a nivel de horas de aficionados", comentó un investigador de malware. Jake Williams en una publicación de blog de hoy. "Esto sugiere que los exploits y el implante no solo fueron desarrollados por diferentes equipos, sino también por equipos con niveles de habilidad dramáticamente diferentes".

Este podría ser un grupo de atacantes al que no le importa si pierde millones de dólares en iOS funcionando exploits, o uno que tenga motivos para creer que los exploits de iOS que funcionan son mucho menos raros de lo que pensamiento.

¿Debería Apple haber captado esto en lugar de Google?

El gasto de desplegar todos estos días cero de manera tan pública podría haber valido la pena para los atacantes, señaló Beer, a pesar del riesgo de descubrimiento.

"No voy a entrar en una discusión sobre si estos exploits cuestan $ 1 millón, $ 2 millones o $ 20 millones", escribió. "Todos esos precios parecen bajos para la capacidad de identificar y monitorear las actividades privadas de poblaciones enteras en tiempo real".

Pero eso deja de lado la cuestión de cuánto tiempo se tardó en descubrir las vulnerabilidades. Marcus Hutchins, el hombre que famoso detuvo el brote de ransomware WannaCry y terminó cumpliendo condena en la cárcel como resultado indirecto, cree que Apple pudo haber dejado caer la pelota.

"Quizás me estoy perdiendo algo, pero parece que Apple debería haberlo encontrado por sí mismo", Hutchins escribió en Twitter. "Las recompensas de errores son geniales y todo, pero una buena telemetría", la capacidad de ver lo que hace su propio software en una red, es significativamente más importante ".

En una conversación con Tom's Guide, Thomas Reed de Malwarebytes respondió que es posible que Apple no haya podido hacerlo.

"No estoy seguro de que Apple pudiera haber detectado esto, principalmente porque los controles en iOS son tan limitantes que hacen que la visibilidad de una infección en el dispositivo sea casi inexistente", nos dijo Reed. "Por supuesto, puede haber telemetría enviada a Apple que no conozco y que podría haber alertado a Apple... pero creo que no, dada la postura de Apple sobre la privacidad ".

Esa falta de visibilidad es parte del problema, agregó Reed. A diferencia de Android, iOS es prácticamente una caja negra. Los investigadores de seguridad han tenido dificultades para analizarlo, y los usuarios de iOS no tienen idea de cómo es el sistema de archivos en sus dispositivos, o incluso cuánta RAM tienen sus dispositivos.

"El hecho de que esto no se haya detectado durante dos años es bastante revelador y creo que cuenta una historia interesante", agregó. "Apple no permite escanear dispositivos iOS de ninguna manera, pero si eso hubiera sido posible, es probable que no hubiera durado dos años".

Alex Stamos, ex jefe de seguridad en Yahoo y Facebook y ahora profesor en Stanford, también culpó a la falta de transparencia de Apple y control casi total del ecosistema iOS: dos cosas que hasta ahora podrían haberse considerado necesarias para preservar los altos estándares de seguridad.

"Hay muchas cosas que aprender de este incidente, pero una es el costo de seguridad de las políticas anticompetitivas de la App Store de iOS". Stamos tuiteó. "Se requiere que Chrome / Brave / Firefox use el WebKit / JS predeterminado [para ejecutarse en iOS, lo que las convierte en versiones meramente de Safari]. Si Apple no va a realizar el trabajo necesario para proteger a los usuarios, entonces debería dejar que otros lo hagan ".

"Es muy irónico que Apple sea la empresa que está demostrando el punto final de los temores de finales de los 90 sobre Microsoft", Stamos. adicional.

Enumeró tres cosas de las que se acusó a Microsoft hace 20 años, y que posiblemente sean ciertas para Apple en la actualidad: "búsqueda de rentas a través de control de plataforma "como el recorte del 30% de los ingresos por aplicaciones de iOS de Apple," moderación de contenido en nombre de las autocracias "- Apple ha cooperado con el gobierno chino sobre la censura y el "riesgo de monocultivo de software", cuyos resultados podemos ver con la divulgar.

Entonces, ¿cómo solucionamos esto?

El resultado es que iOS ahora claramente tiene un problema de seguridad. No esperaba decir eso nunca, pero la piedra de la seguridad de iOS ya estaba un poco rota: un conjunto diferente de Google Project Zero expuso muchas fallas en iMessage a principios de este verano.

Le preguntamos a Reed si Apple podría querer considerar la posibilidad de permitir software antivirus de terceros en dispositivos iOS, como lo ha hecho Android.

"En realidad, no creo que el software antivirus que se ejecuta en iOS sea la respuesta", respondió. "No solo no creo que Apple alguna vez lo apruebe, sino que también entregaría capacidades potencialmente peligrosas en manos de los desarrolladores de iOS.

"Lo que creo que sería mejor serían algunos medios aprobados por Apple para acceder al sistema de archivos en un iOS dispositivo ", dijo Reed, especificando que incluso eso debería ser posible sólo bajo condiciones estrictamente controladas.

A la larga, saber que iOS no es tan seguro puede ser algo bueno. Apple parece saberlo también: a principios de este mes, dijo que lo haría dar a los investigadores aprobados acceso a iPhones especiales sería más fácil de piratear, y elevó la "recompensa por errores" en las fallas de iOS que los investigadores independientes descubren a un máximo de $ 1.5 millones.

Las revelaciones de anoche pusieron las decisiones de Apple para impulsar la transparencia bajo una nueva luz. Quizás Apple se dé cuenta de que ahora necesita a los piratas informáticos de su lado.

  • Por qué los iPhones de Apple no necesitan software antivirus
  • Las mejores aplicaciones de mensajería cifrada
  • ¡Sorpresa! Aplicaciones de iOS tan malas como Android en seguridad (informe)