Investigadores de la división Project Zero de Google han detallado el funcionamiento del exploit sin clic de NSO Group, que se ha utilizado para piratear dispositivos Apple y que detallan como "increíble y aterrador".
Esta versión del exploit "FORCEDENTRY" fue obtenida a principios de año por Citizen Lab, que logró capturarlo a través de un activista saudí quien era objetivo de un ataque y se trabajó junto al grupo de Arquitectura e Ingeniería de Seguridad (SEAR) de Apple para realizar el análisis técnico.
A diferencia del exploit original de NSO que requería que el usuario hiciera clic en un enlace que se enviaba a través de iMessage para correr, esta versión más reciente y sofisticada no implica alguna acción adicional para iniciarse.
Para iniciar el ataque solamente se necesita el número o cuenta del usuario
Esto lo hace aprovechando la forma en que la aplicación interpreta los archivos que terminan en .gif y que considera cómo animación, a los que da la orden para que se reproduzcan de forma indefinida.
Sin embargo, en lugar de ser un GIF, en realidad se trata de PDF malicioso que corre sin que la víctima deba hacer alguna acción, para lo que utiliza JBIG2, un código antiguo de los 90s que se usaba para comprimir archivos a la hora de procesar texto en los escáneres de imágenes.
Una vez que el malware se encuentra dentro del dispositivo, este puede configurar un entorno virtualizado y ejecutar un código parecido a JavaScript sin la necesidad de estar enlazado a un servidor externo, lo que permite al atacante tener acceso a contraseñas, micrófono, audio y otros sensores del dispositivo de la víctima.
Según Project Zero este exploit es extremadamente difícil de detectar y "un arma contra la cual no hay defensa". Ante esto Apple ya ha presentado una actualización para parchear iMessage en septiembre, en una vulnerabilidad que de acuerdo con Citizen Lab podría haberse usado desde febrero de 2021.
Créditos: Gonzalo Hernández