Análisis y reflexiones sobre la información del ataque publicado por Google Project Zero que afectó a iOS (y a Windows y Android parece que también) durante años

Este año no está siendo bueno para Apple desde el punto de vista de la seguridad. Cada día aparecen nuevas noticias sobre vulnerabilidades o incluso otros problemas relacionados con la privacidad de los usuarios y el uso de Siri. Pero este último incidente publicado por Google Project Zero hace unos días es realmente preocupante. Incluso algunas fuentes piensan que la forma en que se han publicado (y la fecha, a sólo unos días de una keynote de Apple) es interesada. Y es que está claro que Google y Apple son competidores en un mismo mercado, pero la seguridad de los usuarios debe de estar por encima de cualquier rivalidad.

Vamos a dar un repaso a su funcionamiento y a la controversia que está rodeando al mismo. Este ataque ya fue descubierto por el TAG (Threat Analysis Group) de Google a principios de año (en concreto el día 1 de febrero de 2019). Apple fue informada para que lo solucionara en un plazo de 7 días. Así fue como el día 7 de febrero, se publicó el parche iOS 12.1.4 que solucionaba todo esos problemas detectados por el TAG de Google. No ha sido hasta el día 29 de agosto cuando realmente se ha publicado un análisis completo del incidente y hemos podido comprobar a fondo cómo funciona este ataque.
Figura 1. Acceso del “implante” (malware) a la base de datos de WhatsApp. Fuente.
Resumiendo el funcionamiento, simplemente visitando una página web, nuestro dispositivo quedaría infectado por un malware el cual obtendría todo tipo de información personal del usuario como por ejemplo, chats de WhatsApp o Telegram, contraseñas, ubicación, agenda de contactos, etc. No sabemos qué páginas web son las que han sido infectadas ni su repercusión, no es lo mismo que resulten atacadas webs como Amazon, AliExpress, YouTube, etc que otras de menor impacto en el público en general. De todas formas, parece ser que durante dos años, millones de usuarios han sido víctimas de este ataque.
El ataque se basa en encadenar (de ahí el término “chain” que aparece en la documentación) exploits (hasta 14) que afectaban por ejemplo a Safari, el kernel, etc. Algunas de estas vulnerabilidades correspondían a Zero Days incrementando la severidad del ataque. En concreto, había cinco cadenas de ataque ataques las cuales permitían conseguir una escalada de privilegios utilizando las vulnerabilidades que hemos mencionado antes. Una vez conseguido el acceso al dispositivo se instalaba un malware el cual era capaz de extraer información de la ubicación GPS, datos de iMessages o WhatsApp, fotos, etc tal y como hemos comentado anteriormente. Y todo esto simplemente visitando una página web.
Figura 2. Cadenas o “chains” de ataques encadenando diferentes vulnerabilidades. Fuente.
Pero este problema parece que no se limita a dispositivos iOS de Apple. También afecta a Windows e incluso a Android, según ha publicado Forbes. Microsoft sólo ha comentado que Google ha dejado claro que el ataque sólo afecta a iOS y Google tampoco ha desmentido ni confirmado la noticia del impacto sobre otros sistemas operativos (es posible que ellos tampoco lo supieran). Además, el objetivo principal de los ataques parece ser, según esta información, que pertenecen a dispositivos propiedad principalmente de ciudadanos chinos, en concreto de la región de Xinjang, una zona muy vigilada por las autoridades chinas debido a diferentes motivos políticos y religiosos. 
Figura 3. Seguimiento de ubicación en tiempo real del dispositivo infectado. Fuente.
Como hemos podido comprobar, existe aún mucha desinformación sobre este problema que puede tener aún más magnitud de la que inicialmente se pensaba. El equipo de Google Project Zero hace un grandísimo trabajo encontrando e informando sobre estas vulnerabilidades, pero algunos piensan que es posible que también haya detrás un interés de “sesgar” la información para obtener beneficio del rival. A nosotros, los usuarios en general, por encima de cualquier marca o sistema operativo, no nos importan este tipo de rivalidades, sólo queremos la información más completa posible para poder tener todos nuestros dispositivos actualizados y seguros de la mejor manera. Seguiremos a fondo esta noticia que dará mucho más que hablar.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.