La seguridad de los dispositivos móviles es un tema que preocupa constantemente tanto a usuarios como a profesionales de la tecnología. Un reciente reporte ha arrojado luz sobre un método de ataque innovador, conocido como el "Ataque de Triangulación en iPhone", que explota características no documentadas del hardware de estos dispositivos.
Los ataques de software espía conocidos como Operación Triangulación, que han estado afectando a dispositivos iPhone desde 2019, han explotado funciones no documentadas en los componentes de Apple para eludir las defensas de seguridad basadas en hardware.
Este descubrimiento proviene de expertos de Kaspersky que han estado investigando exhaustivamente la compleja serie de ataques durante el último año, con el propósito de desentrañar todos los detalles relacionados con la campaña que inicialmente detectaron en junio de 2023.
La revelación y utilización de características de hardware que generalmente están destinadas a fines de depuración y pruebas de fábrica para llevar a cabo ataques de software espía contra usuarios de iPhone sugiere la presencia de un actor de amenazas altamente sofisticado que ha orquestado esta campaña.
Adicionalmente, este caso ejemplifica de manera destacada por qué basar la seguridad en la oscuridad y el secreto en el diseño de hardware o en la implementación de pruebas de hardware es una premisa inadecuada.
Te podrá interesar: Spyware: ¿Qué es y Cómo Detectarlo?
La Operación Triangulación es una campaña de software espía dirigida a dispositivos iPhone de Apple, que se vale de un conjunto de cuatro vulnerabilidades de día cero. Estas vulnerabilidades se combinan para crear un exploit sin necesidad de interacción del usuario, lo que permite a los atacantes elevar sus privilegios y ejecutar código de forma remota.
Las cuatro vulnerabilidades que forman esta cadena de exploits altamente sofisticados, los cuales funcionaron en todas las versiones de iOS hasta iOS 16.2, son las siguientes:
Estos ataques comienzan con el envío de un archivo adjunto malicioso de iMessage al objetivo, y es importante destacar que toda la cadena de exploits opera sin necesidad de clics, lo que significa que no requiere la interacción del usuario y no deja rastros visibles.
El ataque fue descubierto por Kaspersky en su propia red, y el servicio de inteligencia ruso (FSB) acusó inmediatamente a Apple de proporcionar una puerta trasera a la NSA contra el gobierno ruso y el personal de la embajada. Hasta el momento, el origen de los ataques es desconocido, y no se han presentado pruebas que respalden estas acusaciones.
Apple abordó dos de las vulnerabilidades de día cero conocidas (CVE-2023-32434 y CVE-2023-32435) el 21 de junio de 2023, mediante la publicación de iOS/iPadOS 16.5.1 y iOS/iPadOS 15.7.7 respectivamente.
Podrá interesarte: Implementación de Jamf Pro: Solución MDM
De las vulnerabilidades previamente mencionadas, la CVE-2023-38606, que se resolvió el 24 de julio de 2023 con el lanzamiento de iOS/iPadOS 16.6, resulta ser la más intrigante.
La explotación de esta falla permite a un atacante eludir la protección de hardware en los chips de Apple, que normalmente impide que los atacantes obtengan un control total sobre el dispositivo cuando obtienen acceso de lectura y escritura a la memoria del kernel. Esta hazaña se logró mediante la explotación de otra vulnerabilidad separada, la CVE-2023-32434.
Kaspersky explica que la CVE-2023-38606 se centra en registros MMIO (Memoria de E/S mapeada en memoria) desconocidos en los procesadores Apple A12-A16 Bionic, que probablemente están relacionados con el coprocesador GPU del chip y no están documentados en el árbol de dispositivos convencional.
La Operación Triangulación utiliza estos registros para manipular las funciones de hardware y tomar control directo sobre el acceso a la memoria durante el ataque.
El informe explica: "Si intentamos describir esta característica y cómo los atacantes la aprovecharon, todo se reduce a esto: son capaces de escribir datos en una dirección física específica mientras evitan las protecciones de memoria basadas en hardware, escribiendo los datos, la dirección de destino y el hash de datos en registros de hardware desconocidos del chip, que no son utilizados por el firmware".
Kaspersky plantea la hipótesis de que la inclusión de esta característica de hardware no documentada en la versión final del iPhone para el consumidor pudo haber sido un error o se mantuvo como un recurso para ayudar a los ingenieros de Apple en tareas de depuración y pruebas. Apple resolvió esta vulnerabilidad mediante una actualización del árbol de dispositivos para limitar la asignación de direcciones físicas.
No obstante, aún no se ha revelado cómo los atacantes lograron tener conocimiento de esta característica de hardware tan poco conocida y explotable.
Podría interesarte leer: Jamf Protect: Protección de Dispositivos macOS
El Ataque de Triangulación en iPhone es un recordatorio de que, en el mundo de la tecnología, siempre habrá vulnerabilidades y riesgos de seguridad. Mientras que las empresas como Apple trabajan para mejorar la seguridad de sus dispositivos, es crucial que los usuarios estén informados y tomen medidas proactivas para proteger su información personal. Este tipo de ataques subraya la importancia de una vigilancia constante en el ámbito de la ciberseguridad y el compromiso continuo para salvaguardar la privacidad de los usuarios.