Citizen Lab explica que la semana pasada, durante la revisión de un dispositivo propiedad de una persona de una organización de la sociedad civil con sede en Washington D. C. y oficinas internacionales, se descubrió una vulnerabilidad zero-click que había sido utilizada para distribuir el spyware Pegasus de NSO Group. “Nos referimos al exploit chain como Blastpass”, dicen los investigadores de Citizen Lab. “La exploit chain era capaz de comprometer iPhones que ejecutaban la última versión de iOS (16.6) sin ninguna interacción por parte de la víctima”.
Cuando Citizen Lab detectó la vulnerabilidad, se puso en contacto con Apple y colaboró en su investigación. Apple emitió dos CVE. El fallo de seguridad descubierto por Citizen Lab e identificado como CVE-2023-41064, permitía que dispositivos como iPhone y iPad fueran vulnerables al procesar una imagen creada con fines malintencionados y afectaba al framework Image I/O. La otra vulnerabilidad, CVE-2023-41061, fue descubierta por la propia Apple y actuaba de forma similar, pero en su caso surgió en el Wallet y activaba la exploit chain cuando el dispositivo recibía archivo adjunto creado con fines malintencionados.
Este tipo de ataques extremadamente refinados van dirigidos a personas muy específicas, pero en cualquier caso tanto Apple como Citizen Lab instan a todos los usuarios a actualizar sus dispositivos. Citizen Lab añade que todos los que puedan enfrentarse a un mayor riesgo debido a quiénes son o qué hacen, activen el modo aislamiento de iOS 16 que bloquea este tipo de ataque en particular. “Este descubrimiento muestra una vez más que la sociedad civil es blanco de exploits altamente sofisticados y al spyware mercenario”, dice Citizen Lab.
NSO Group no vende el spyware Pegasus a particulares y limita su comercialización a gobiernos autorizados para ayudar a combatir el terrorismo y el crimen. Sin embargo, algunos países como España también lo usan para espiar a políticos, periodistas y otros miembros de la sociedad civil.