Google descubre que solo visitando algunos sitios los IPhones fueron hackeados durante años

Si, tu IPhone puede ser hackeado solo visitando un sitio que aparentemente es inofensivo, investigadores de Google publicaron un descubrimiento terrorífico.

La historia se remonta a una cadena de ataques generalizados para iPhone, que los investigadores de ciberseguridad del proyecto “Cero” de Google descubrieron a principios de este año, esto se logra implantando un spyware en los últimos 5 exploits de jailbreaking remoto existentes para IPhone.

Estos exploits, los cuales explotan un total de 14 vulnerabilidades del sistema operativo iOS mobile, de las cuales 7 residen en el browser de la marca “Safari”, 5 en el kernel del sistema operativo y 2 fallas en sandbox, los objetivos eran casi todas las versiones de iOS entre “iOS 10” hasta la mas reciente “iOS 12”.

Según la publicación realizada por el investigador del Proyecto Cero “Ian Beer”, solo dos de las 14 vulnerabilidades de seguridad eran zero-days, CVE-2019-7287 y CVE-2019-7286 sin parches en el momento del descubrimiento y sorprendentemente la cadena de ataque permaneció sin ser detectada durante al menos dos años.

Aun que los detalles técnicos de estas 2 vulnerabilidades no estaban disponibles, estas fueron publicadas en febrero luego de el lanzamiento de la versión 12.1.4 de iOS.

Reportamos estos problemas a Apple con un plazo de 7 días el 1 de febrero de 2019, lo que resultó en el lanzamiento de iOS 12.1.4 el 7 de febrero de 2019. También compartimos los detalles completos con Apple, que fueron revelados públicamente el 7 de febrero de 2019 “, dice Beer.

Ahora los investigadores de Google explican, el ataque comenzó a través de una pequeña cantidad de sitios hackeados con miles de visitas por semana, dirigidos a todos los usuarios de iOS que visitan esos sitios web sin discriminación alguna.

Simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo y si fue exitoso, ya se intaló un monitoreo“, dice Beer.

Una vez que el usuario de Iphone visite un sitio corrompido a través de Safari, se activa el exploits WebKit que realiza una escalada de privilegios hasta obtener un acceso mas alto de acceso en la raiz del dispositivo.

Los exploits del iPhone se usaron para implementar un implante diseñado principalmente para robar archivos como iMessages, fotos y datos de ubicación de GPS en vivo de los usuarios, y subirlos a un servidor externo cada 60 segundos.

No hay un indicador visual en el dispositivo de que el implante se está ejecutando. No hay forma de que un usuario en iOS vea una lista de procesos, por lo que el binario del implante no intenta ocultar su ejecución del sistema“, explica Beers.

El implante de software espía también robó los archivos de la base de datos del dispositivo de la víctima que utilizan las populares aplicaciones de cifrado de extremo a extremo como Whatsapp, Telegram e iMessage para almacenar datos, incluidos los chats privados en texto sin formato.

Además, el implante también tenía acceso a los datos del llavero del dispositivo de los usuarios que contenían credenciales, tokens de autenticación y certificados utilizados en y por el dispositivo.

El llavero también contiene los tokens de larga duración utilizados por servicios como el inicio de sesión único de iOS de Google para permitir que las aplicaciones de Google accedan a la cuenta del usuario. Estos se cargarán a los atacantes y luego se pueden usar para mantener el acceso al usuario Cuenta de Google, incluso una vez que el implante ya no se está ejecutando “, dice Beers.

Si bien el implante se eliminaría automáticamente de un iPhone infectado al reiniciar, sin dejar rastro de sí mismo, visitar el sitio pirateado nuevamente reinstalaría el implante.

Alternativamente, como explica Beer, los atacantes pueden “mantener un acceso persistente a varias cuentas y servicios mediante el uso de tokens de autenticación robados del llavero, incluso después de perder el acceso al dispositivo“.

Referencias:

https://unaaldia.hispasec.com/2019/08/iphone-zero-days-un-nuevo-spyware-de-altas-capacidades-puede-monitorizar-toda-la-vida-digital-de-las-personas.html

https://www.cbsnews.com/news/google-iphone-hack-discovered-mass-ios-hacking-attack-sustained-over-at-least-two-years-2019-08-30/

https://www.thesun.co.uk/tech/9826781/google-iphone-hacked-websites-how/

https://thehackernews.com/2019/08/hacking-iphone-ios-exploits.html

https://www.newsweek.com/has-your-iphone-been-hacked-google-malware-apple-ios-cybersecurity-1456983

https://www.cnet.com/news/google-says-iphone-security-flaws-let-websites-hack-them-for-years/

https://www.theguardian.com/technology/2019/aug/30/hackers-monitoring-implants-iphones-google-says