Por qué es importante: Pegasus es un software espía comercial desarrollado por la firma de armas cibernéticas NSO Group, con sede en Israel, que aparentemente trabaja para «prevenir e investigar» el terrorismo y el crimen. Sin embargo, Pegasus se utiliza a menudo para rastrear, espiar y comprometer a periodistas, activistas, disidentes políticos y abogados en todo el mundo.
El grupo de vigilancia Citizen Lab encontró recientemente dos vulnerabilidades de día cero en el iPhone que permiten al software espía Pegasus ingresar al dispositivo. Las fallas se utilizaron para espiar a un individuo anónimo empleado por una organización de la sociedad civil de Washington DC, abusando de una cadena de exploits a la que los investigadores se refirieron como BLASTPASS.
El principal exploit comprometió PassKit, el marco de Apple diseñado para incluir la opción Apple Pay en aplicaciones de terceros. Utilizó archivos adjuntos que contenían «imágenes maliciosas» enviadas a través de la aplicación Mensajes como vector de ataque. Este exploit de «clic cero» no requiere interacción del usuario, ya que basta con recibir el archivo adjunto malicioso en la última versión de iOS para infectarse con el software espía Pegasus.
La cadena de exploits BLASTPASS fue revelada «inmediatamente» a Apple, y la compañía rápidamente se puso a trabajar en el problema. Apple ahora ha lanzado dos actualizaciones de seguridad para iOS 16.6.1 y iPadOS 16.6.1, reconociendo la investigación de Citizen Lab y encontrando un problema adicional relacionado con la falla principal de BLASTPASS.
El primer error (CVE-2023-41064) es un problema de desbordamiento del búfer encontrado en el componente ImageIO de iOS. Los piratas informáticos podrían abusar de la falla obligando a ImageIO a procesar una imagen creada con fines malintencionados, lo que provocaría la ejecución de código arbitrario. Apple solucionó la vulnerabilidad mejorando el manejo de la memoria ImageIO.
La segunda falla (CVE-2023-41061) se encontró en Wallet, donde se podía manipular un «problema de validación» para enviar archivos adjuntos maliciosos diseñados para permitir la ejecución de código arbitrario. Apple mejoró la lógica del código para solucionar el agujero de seguridad y reconoció la ayuda de Citizen Lab.
Los analistas dicen que el modo Lockdown, la opción extrasegura de Apple para limitar la superficie de ataque en iPhone y iPad, bloqueará la cadena de exploits BLASTPASS. Citizen Lab elogió a Apple por la rápida «respuesta de investigación» y el ciclo de parches.
El incidente también pone de relieve cómo los malos actores utilizan habitualmente «software espía mercenario» como Pegasus de la ONG para atacar a empleados gubernamentales y otros miembros de la sociedad civil. Las actualizaciones de Apple están diseñadas para proteger los dispositivos de usuarios habituales, empresas y gobiernos. Citizen Lab señala que el descubrimiento de BLASTPASS destaca el «valor increíble» de apoyar a las organizaciones de la sociedad civil con medidas colectivas de ciberseguridad.