Los smartphones se han convertido en una parte esencial de nuestras vidas. Los iPhones de Apple son algunos de los dispositivos más populares y codiciados en el mercado. Sin embargo, incluso los productos de tecnología más avanzados no están exentos de amenazas cibernéticas. En diciembre de 2023, se ha emitido una advertencia importante para los usuarios de iPhone. Los expertos en seguridad han identificado vulnerabilidades que podrían poner en riesgo la privacidad y seguridad de los usuarios.
Un "ataque de bloqueo furtivo", como se menciona en el contexto de la seguridad de iPhone, se refiere a una técnica de manipulación post-explotación en la que los atacantes engañan a los usuarios para que crean que sus dispositivos están en un estado de seguridad mejorado cuando no lo están. Específicamente, este término se ha utilizado para describir una vulnerabilidad descubierta recientemente en iPhones, donde los atacantes pueden hacer que parezca que el dispositivo está en "Modo de Bloqueo" (Lockdown Mode) de Apple, aunque no lo esté.
El Modo de Bloqueo de Apple es una función de seguridad que se introdujo para proteger a los usuarios de amenazas digitales sofisticadas, como el spyware, al minimizar la superficie de ataque del dispositivo. Sin embargo, en un ataque de bloqueo furtivo, el malware ya presente en el dispositivo puede manipular este modo para dar una falsa sensación de seguridad. Esto permite que el malware continúe funcionando en el dispositivo sin ser detectado por el usuario, que cree erróneamente que su dispositivo está en un estado más seguro.
Esta técnica de ataque es significativa porque explota la confianza del usuario en las interfaces y configuraciones de seguridad del dispositivo, lo que constituye una forma avanzada de ingeniería social. Al engañar a los usuarios para que crean que están protegidos, pueden no detectar actividades maliciosas que ocurren en sus dispositivos.
Te podrá interesar leer: Jamf Protect: Protección de Dispositivos macOS
Recientemente, se revelado una nueva técnica de manipulación post-explotación que podría ser utilizada por actores maliciosos para engañar visualmente a los usuarios de iPhone haciéndoles creer que su dispositivo está en Modo de Bloqueo (Lockdown Mode), cuando en realidad no lo está. Esto permite a los atacantes llevar a cabo actividades encubiertas sin ser detectados.
Esta técnica, denominada "Fake Lockdown Mode", se activa cuando un atacante ya ha infiltrado el dispositivo a través de otros medios, como fallas de seguridad no parcheadas que permiten la ejecución de código arbitrario. El Modo de Bloqueo de Apple, introducido con iOS 16, es una medida de seguridad mejorada diseñada para proteger a individuos de alto riesgo de amenazas digitales sofisticadas, minimizando la superficie de ataque. Sin embargo, no impide la ejecución de cargas maliciosas en un dispositivo ya comprometido.
La falsificación del Modo de Bloqueo se logra mediante la manipulación de funciones que se activan al habilitar la configuración. Por ejemplo, se crean archivos específicos y se inicia un reinicio del espacio de usuario, que termina todos los procesos y reinicia el sistema sin afectar al kernel. Esto significa que un malware implantado en el dispositivo, incluso sin un mecanismo de persistencia, seguirá existiendo después de este tipo de reinicio y espiará subrepticiamente a los usuarios.
Además, un adversario podría alterar el Modo de Bloqueo en el navegador Safari para permitir la visualización de archivos PDF, que de otro modo estarían bloqueados cuando se activa la configuración.
Desde iOS 17, Apple ha elevado el Modo de Bloqueo a nivel de kernel, lo que es un paso significativo para mejorar la seguridad, ya que los cambios realizados por el Modo de Bloqueo en el kernel generalmente no pueden deshacerse sin un reinicio del sistema. Este avance es crucial, ya que proporciona mitigaciones de seguridad adicionales.
La investigación de Jamf sobre el Modo de Bloqueo Falso y el Modo Avión Falso ha explorado cómo las interfaces pueden transmitir confianza y proporcionar a los usuarios garantías de que un dispositivo es seguro. Estos hallazgos demuestran que las interfaces de usuario pueden manipularse fácilmente, lo que representa una evolución de las técnicas de ingeniería social.
Te podrá interesar: Jamf Threat Labs: Laboratorio de Amenazas Informáticas
El modo de bloqueo falso se implementa interceptando y manipulando ciertas funciones del sistema que se activan al habilitar el Modo de Bloqueo, tales como setLockdownModeGloballyEnabled, lockdownModeEnabled, e isLockdownModeEnabledForSafari. Este proceso implica la creación de un archivo denominado "/fakelockdownmode_on" y la ejecución de un reinicio del espacio de usuario. Este tipo de reinicio finaliza todos los procesos en ejecución y reinicia el sistema operativo del dispositivo sin modificar el kernel.
Lo preocupante de esta técnica es que permite que cualquier malware ya presente en el dispositivo, incluso aquel que no cuenta con un mecanismo de persistencia, continúe operando tras el reinicio. El malware puede permanecer activo y realizar actividades de espionaje sin que el usuario se percate de ello.
Michael Covington, vicepresidente de estrategia de cartera en Jamf, explica que este método de engaño es particularmente insidioso porque induce a los usuarios a creer que su dispositivo está funcionando normalmente y que las medidas de seguridad adicionales están activadas, reduciendo así la probabilidad de que sospechen de cualquier actividad maliciosa en el fondo.
Podría interesarte leer: ¿Cómo saber si están espiando tu celular?
La advertencia para los usuarios de iPhone sobre las vulnerabilidades en la seguridad es una llamada de atención importante en un mundo cada vez más digitalizado. La seguridad de nuestros dispositivos móviles es esencial para proteger nuestra privacidad y datos personales. Tomando medidas proactivas y siguiendo las mejores prácticas de seguridad, los usuarios de iPhone pueden minimizar los riesgos y disfrutar de sus dispositivos con confianza.
Al mismo tiempo, es crucial que Apple continúe mejorando la seguridad de sus productos para proteger a sus usuarios y mantener su reputación como líder en tecnología. En última instancia, la seguridad en el mundo digital es una responsabilidad compartida entre los fabricantes y los usuarios, y trabajar juntos es la clave para mantenernos seguros en línea.