Apple acaba de lanzar un parche de emergencia, para subsanar una falla de seguridad que comprometía la aplicación de mensajería iMessage, haciéndola vulnerable ante spyware.
Esta falla compromete la seguridad de iPhones, iPads, Macs y Apple Watches, por lo que se recomienda actualizar el software de estos dispositivos.
Actualización de seguridad urgente, ante vulnerabilidad en iMessage
La firma de seguridad Citizen Lab denunció la existencia de una falla de seguridad en los sistemas operativos de Apple, tras investigar un teléfono infectado con el spyware Pegasus, que pertenecía a un activista saudí. En su hallazgo, detectaron que NSO Group, empresa de tecnología israelí, presuntamente había explotado una vulnerabilidad llamada «cero clic» en iMessage, para infectar el dispositivo objetivo.
John Scott-Railton, investigador de Citizen Lab, señaló al New York Times que a través de este exploit, quien lo maneje puede hacer «todo lo que un usuario de iPhone puede hacer en su dispositivo y más», una vez infectado. Esto contempla desde el seguimiento de mensajes, llamadas y correos electrónicos, algo común dentro de estos ataques, hasta elementos más esquivos, como las comunicaciones cifradas a través de aplicaciones como Signal o Telegram. Más que abrir un espacio para un simple vistazo de un intruso, este problema se trata, casi literalmente, de poner un móvil en manos ajenas.
De acuerdo a lo que reporta el mismo periódico, Ivan Krstić, jefe de ingeniería y arquitectura de seguridad de Apple, comentó que “los ataques como los descritos son muy sofisticados, cuesta millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos”, junto con elogiar el trabajo de Citizen Lab.
A diferencia de los ataques de requieren de alguna acción por parte del usuario objetivo para activarse, como aquellos que se accionan mediante la ejecución de algún archivo adjunto o a través de algún enlace malicioso, este tipo de exploits no requieren de alguna entrada por parte del usuario. En este caso, NSO necesitó simplemente adjuntar un mensaje cargado de malware a través de iMessage, aprovechando una vulnerabilidad en su código que lo hacía invisible ante su destinatario, sin que este note alguna actividad sospechosa.
Como una medida de seguridad y responsabilidad, para evitar que la vulnerabilidad detectada avance hacia una escala mayor, cuando una firma de seguridad detecta una anomalía de esta clase, primero es notificada a la compañía responsable, para que sea corregida antes de visibilizarla ante el público general. Este problema puntual ya fue corregido por Apple, a través de la actualización CVE-2021-30860.
Por lo mismo, de acuerdo al reporte de Apple, para corregir este problema es necesario contar por lo menos con las versiones de iOS 14.8, iPad OS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 y la actualización de seguridad 2021-005 para macOS Catalina.
Adicionalmente, Apple ha informado que entre sus planes contemplan añadir nuevos resguardos de seguridad para iMessage, las cuales llegarían con iOS 15, versión que se espera para fin de año.