BlastPass - Ataque Zero-Click Contra Dispositivos Apple

Apple liberó la actualización 16.6.1 para iOS, la cual corrige una serie de vulnerabilidades relacionadas con una campaña zero-click contra dispositivos iOS la cual instala, sin intervención del usuario, el software espía Pegasus.

BlastPass - Ataque Zero-Click Contra Dispositivos Apple

Acciones Rápidas:

Si cuentas con un dispositivo iOS, ya sea un iPhone, iPad, Mac o Apple Watch, se les sugiere actualizar a las siguientes versiones:

Historia Completa.

El pasado 7 de septiembre CitizenLabs informó sobre una cadena de explotación que denominó "BlastPass Exploit Chain". 

Menciona que durante la inspección de un dispositivo iOS actualizado a la última versión de ese momento (16.6) se encontró una cadena de ataque siendo explotada, la cual utiliza una vulnerabilidad denominada "zero-click attack"esta denominación indica que no se requiere intervención del usuario para comprometer el dispositivo. 

Para ser infectado, el usuario solo debe recibir una imagen maliciosa que es enviada por el popular servicio de mensajería de Apple llamado iMessage. La cadena de ataque explota el modelo de implementación "PassKit" de Apple que está directamente relacionado con la aplicación de cartera (Wallet).

Una vez comprometido este componente, se realiza un ataque de buffer overflow, comprometiendo el componente Image I/O. Esto deriva en la instalación del (infame) software Pegasus

¿Que es el software Pegasus?

Pegasus es identificado con un software espía, el cual fue desarrollado por la compañía NSO Technologies con base en Israel, fundada en 2010 y que su nombre deriva de las iniciales de sus fundadores; Niv (Carmi), Shalev (Lavie) y Omri (Hulio).

Aunque las características del software varían según la versión, las más populares han sido:

  • Leer mensajes de texto.
  • Rastreo de ubicación.
  • Intervención de cámara y/o micrófono.
  • Recolector de información general.
  • Keylogger (registro de teclas presionadas).
  • Extraer contenido (imágenes, videos audio almacenado).

Según el reporte de Apple, las vulnerabilidades explotadas se identificaron como:

CVE-2023-41064:  Desbordamiento de buffer que afecta el manejador de imagenes (image handler). La cual fue descubierta con la colaboración de Citizen Labs en Canadá.

CVE-2023-41061: Un archivo adjunto malicioso puede desencadenar en una ejecución de código arbitrario. Afecta la aplicación de cartera (Wallet) y fue descubierta por Apple.

Citizen Labs indica que esta campaña se encuentra en progreso, ya que indica que sus hallazgos fueron realizados en un dispositivo perteneciente a un empleado de Washington DC.

Para finalizar, se indica que el modo "Lockdown" bloquea este ataque. El modo Lockdown reduce las funciones regulares de operación, pero aumenta la seguridad del dispositivo.

Referencias:

https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/

https://support.apple.com/en-us/HT213905

https://support.apple.com/es-mx/HT212650