El software de vigilancia israelí Pegasus apunta a datos en la nube en iPhones infectados

La compañía israelí NSO Group afirma que su herramienta actualizada de vigilancia multimillonaria, llamada Pegasus, ahora también puede extraer datos de servicios en la nube como iCloud, Google Drive y Facebook Messenger, entre otros, desde un iPhone infectado o un teléfono inteligente Android.

Según un informe de Paywall publicado ayer por The Financial Times, la aplicación funciona en los últimos teléfonos inteligentes iPhone y Android, aprovechando las vulnerabilidades para continuar trabajando incluso después de que el usuario haya eliminado la herramienta.

Se dice que la nueva técnica copia las claves de autenticación de servicios como Google Drive, Facebook Messenger e iCloud, entre otros, desde un teléfono infectado, lo que permite que un servidor separado se haga pasar por el teléfono, incluida su ubicación. De acuerdo con un documento de ventas, esto otorga acceso abierto a los datos en la nube de esas aplicaciones sin 'solicitar verificación en dos pasos o correo electrónico de advertencia en el dispositivo de destino'..

Robar tokens de autenticación es una antigua técnica para obtener acceso a la cuenta de la nube de alguien sin necesidad de su nombre de usuario, contraseña o códigos de verificación de dos pasos. A diferencia de las claves de cifrado que usa iOS para proteger sus datos locales, estos tokens de autenticación no se almacenan en el Enclave seguro de Apple, que está separado del resto del sistema.

Aquí está la respuesta de Apple:

iOS es la plataforma informática más segura del mundo. Si bien pueden existir algunas herramientas costosas para realizar ataques dirigidos en un número muy pequeño de dispositivos, no creemos que sean útiles para ataques generalizados contra los consumidores..

Curiosamente, Apple no niega que tal capacidad pueda existir. El gigante tecnológico agregó que actualiza regularmente su sistema operativo móvil y la configuración de seguridad para mantener a los usuarios protegidos.

Si bien NSO Group negó la promoción de herramientas de piratería o vigilancia masiva para servicios en la nube, no negó específicamente que hubiera desarrollado la capacidad descrita en los documentos.

De manera crucial, la herramienta funciona en cualquier dispositivo "que Pegasus pueda infectar".

Un documento de presentación de la empresa matriz de NSO, Q-Cyber, que fue preparado para el gobierno de Uganda a principios de este año, anunciaba la capacidad de Pegasus de 'recuperar las claves que abren las bóvedas de la nube' y 'sincronizar y extraer datos de forma independiente'.

Tener acceso a un "punto final en la nube" significa que los espías pueden llegar a "mucho más allá del contenido del teléfono inteligente", lo que permite que la información sobre un objetivo "ingrese" desde múltiples aplicaciones y servicios, afirmó el argumento de venta. Todavía no está claro si el gobierno de Uganda compró el servicio, que cuesta millones de dólares..

Tome las afirmaciones de NSO Group con un grano de sal.

Esta no es la primera vez que alguien hace afirmaciones audaces sobre eludir las características de seguridad de los chips de diseño personalizado de Apple y el software iOS que alimenta iPhone y iPad. Es cierto que las fuerzas del orden no evitan pagar millones de dólares en tarifas por los derechos de uso de dicho software. También es cierto que el FBI finalmente recurrió a Pegasus para desbloquear un teléfono perteneciente al tirador de San Bernardino. Sin embargo, también es cierto que este era un iPhone más antiguo sin el coprocesador criptográfico Secure Enclave de Apple que proporciona cifrado de disco completo y protecciones de hardware para las claves de cifrado de disco.

Sin embargo, herramientas como Pegasus podrían haberse utilizado para hackear incluso iPhones modernos, pero eso se debe a que sus propietarios fueron lo suficientemente tontos como para instalar una aplicación maliciosa que incluía malware. Otras técnicas incluyen la instalación de una VPN invisible para detectar el tráfico de la red, descifrar un código de acceso débil o explotar una supervisión importante por parte del usuario que puede abrir un vector de ataque.

No parece que Pegasus explote una vulnerabilidad de iOS para acceder a sus datos en la nube.

Uno de los documentos de presentación ofrecía una forma anticuada de frustrar este tipo de escuchas: cambiar la contraseña de una aplicación y revocar su permiso de inicio de sesión. Eso cancela la viabilidad del token de autenticación replicado hasta que, según el documento, Pegasus se vuelve a implementar.

Sí, existen vulnerabilidades de iOS y algunas de ellas nunca se revelan, pero el agresivo mecanismo de actualización de software de Apple instala parches rápidamente. Que yo sepa, ninguna compañía de seguridad aún tiene que afirmar inequívocamente que puede hackear los últimos iPhones..

Pegasus se utilizó recientemente para hackear WhatsApp a través de una vulnerabilidad no revelada. Desde entonces, WhatsApp ha cerrado la brecha y el Departamento de Justicia de EE. UU. Está investigando.

Pensamientos?