El modo de bloqueo del iPhone detiene el spyware de Notorious NSO Group

El «modo de bloqueo» en los iPhone de Apple pudo frustrar los intentos de piratería de NSO Group, un notorio proveedor comercial de spyware.

Los hallazgos provienen de Citizen Lab, un grupo de vigilancia que ha estado rastreando los esfuerzos de NSO para entregar software espía a un grupo de derechos humanos en México. El año pasado, NSO Group implementó un nuevo exploit para iOS, denominado «PwnYourHome», que puede infiltrarse en secreto en la aplicación iMessages de un usuario y manipular el software HomeKit.

Sin embargo, Citizen Lab notó que el ataque se topó con una pared en los iPhone que tenían activado el modo de bloqueo, que llegó en septiembre a través de iOS 16.

“Durante un breve período, los objetivos que habían habilitado la función Modo de bloqueo de iOS 16 recibieron advertencias en tiempo real cuando se intentó la explotación de PwnYourHome contra sus dispositivos”, dijo el grupo de vigilancia.(Se abre en una nueva ventana) en el informe, que señala que NSO Group comenzó a entregar el exploit en octubre.

Ilustración derivada de capturas de pantalla de víctimas que ilustran cómo el modo de bloqueo muestra notificaciones relacionadas con el exploit PwnYourHome de NSO. (Crédito: Laboratorio ciudadano)

Esas son buenas noticias, ya que el modo de bloqueo de Apple fue diseñado para impedir que los proveedores profesionales de spyware se dirijan a usuarios como funcionarios gubernamentales y activistas de derechos humanos. El modo de bloqueo opcional restringe varios procesos en un iPhone y, si bien esto puede deshabilitar ciertas funciones, también puede evitar que los intentos de piratería manipulen en secreto el sistema operativo.

Citizen Lab descubrió que el Modo de bloqueo pudo detectar y bloquear el exploit PwnYourHome de NSO Group al marcar sus intentos de acceder al software Homekit del iPhone. “No hemos visto notificaciones recientes sobre el modo de bloqueo, ni hemos visto ninguna evidencia de compromiso exitoso de PwnYourHome en el modo de bloqueo”, agregó el grupo.

Aún así, esto también podría significar que NSO Group creó una solución para eludir el modo de bloqueo, ya que su spyware es experto en eliminar cualquier rastro de sí mismo de los iPhones infectados.

“Dado que no hemos visto indicios de que NSO haya dejado de implementar PwnYourHome, esto sugiere que NSO puede haber descubierto una forma de corregir el problema de notificación, como mediante el modo de bloqueo de huellas dactilares”, agregó Citizen Lab.

NSO Group y Apple no respondieron de inmediato a una solicitud de comentarios. Pero Citizen Lab dice que proporcionó a Apple pruebas forenses de sus investigaciones en octubre y enero. Por lo tanto, es probable que Cupertino ya haya desarrollado nuevas medidas de seguridad para reforzar el modo de bloqueo.

Citizen Lab agrega: “Si bien es poco probable que una sola medida de seguridad detenga todos los ataques de spyware dirigidos, y la seguridad es un problema multifacético, creemos que este caso destaca el valor de habilitar esta función para usuarios de alto riesgo que pueden ser atacados debido a quiénes son o qué hacen”.

El informe del grupo también menciona el descubrimiento de evidencia de que NSO Group usó otros dos exploits de iOS para apuntar a iPhones a principios de 2022, antes de que el modo de bloqueo estuviera disponible. Desde entonces, Apple ha actualizado iOS para proteger el software de las vulnerabilidades.

ACTUALIZAR: En un comunicado, un portavoz de Apple dijo: «Nos complace ver que el modo de bloqueo interrumpió este ataque sofisticado y alertó a los usuarios de inmediato, incluso antes de que Apple y los investigadores de seguridad conocieran la amenaza específica. Nuestros equipos de seguridad en todo el mundo continuarán trabajando». incansablemente para avanzar en el modo de bloqueo y fortalecer las protecciones de seguridad y privacidad en iOS”.