El hecho de que iOS 0 días sin clic fue reportado como un exploit no existe, dice Apple

El hecho de que iOS 0 días sin clic fue reportado como un exploit no existe, dice Apple

Apple está impugnando la precisión del informe de esta semana de que los atacantes explotaron un error de iOS sin parches que les permitió tomar el control total de los iPhones.

La firma de seguridad con sede en San Francisco, ZecOps, dijo el miércoles que los atacantes habían utilizado la explotación de día cero contra al menos seis objetivos durante al menos dos años. En el informe en disputa, ZecOps declaró que la falla crítica estaba en la aplicación de correo y que podría activarse mediante el envío de correos electrónicos especialmente manipulados que no requerían ninguna interacción del usuario.

Apple se negó a comentar sobre el informe en ese momento. Sin embargo, a última hora de la tarde del jueves, Apple rechazó las conclusiones de ZecOps de que (a) el error representaba una amenaza para los usuarios de iPhone y iPad y (b) había habido alguna explotación activa. En un comunicado, los funcionarios escribieron:

Apple toma en serio todos los informes de amenazas de seguridad. Hemos estudiado a fondo el informe del investigador y, en base a la información proporcionada, hemos concluido que estos problemas no representan un riesgo inmediato para nuestros usuarios. El investigador identificó tres problemas en Mail, pero por sí solos no son suficientes para sortear las protecciones de seguridad de iPhone y iPad y no hemos encontrado evidencia de que se hayan utilizado contra clientes. Estos posibles problemas pronto se resolverán en una actualización de software. Apreciamos nuestra colaboración con los investigadores de seguridad para ayudar a proteger a nuestros usuarios y acreditar al investigador por su ayuda.

Un buen número de investigadores independientes también cuestionaron la conclusión de ZecOps. En general, los críticos dijeron que la evidencia en la que ZecOps basó sus hallazgos no era convincente. Los resultados en disputa se basaron en evidencia de que se eliminaron correos electrónicos maliciosos, presumiblemente para ocultar los ataques, pero que los datos que quedaron en los registros indicaron que las eliminaciones y los bloqueos fueron el resultado de una explotación.

Los críticos dijeron que si el exploit pudiera eliminar los correos electrónicos, también habría podido eliminar los datos del registro de fallas. Los críticos afirmaron que la falla y algunos detalles técnicos contenidos en el informe de ZecOps sugirieron fuertemente que la falla era un error más benigno provocado por ciertos tipos de correos electrónicos. Además, los escépticos, según los críticos, dicen que un exploit avanzado causaría un accidente. Esas dudas han continuado desde entonces.

HD Moore, vicepresidente de investigación y desarrollo de Atredis Partners y experto en explotación de software, me dijo el viernes:

Parece que ZecOps identificó un informe de bloqueo, encontró una manera de reproducir los bloqueos y, basándose en evidencia circunstancial, especuló que esto se estaba utilizando con fines maliciosos. Parece que después de informarlo a Apple, investigado por Apple, descubrió que era solo un error de bloqueo, y esto cierra la puerta a esta explotación desenfrenada de un nuevo iOS de día cero.

Puede ser que Apple esté equivocado, pero dada su sensibilidad a estas cosas, probablemente hicieron un trabajo decente al invertirlas. A través de la vid, sentí que el equipo de seguridad interna que dirigió esta investigación de Apple estaba enojado, ya que ZecOps fue directo a la imprenta antes de que tuvieran la oportunidad de revisar.

Otros críticos han expresado sus críticas en Twitter.

«Parece que tienes una verdadera vulna, pero la evidencia de explotación parece débil … y no hay información en tu publicación sobre el encadenamiento posterior a la explotación que conduzca a la divulgación de información o la ejecución del código», investigador Rich Mogul Él escribió. «¿Alguna actualización que pueda compartir? Reclamo bastante grande de un correo sin clic utilizado durante 0 días».

Si bien Mogul dejó abierta la posibilidad de una explotación real de una vulnerabilidad, dijo que ZecOps no proporcionó suficiente evidencia para descartar un accidente intencional. Otra crítica es aquí.

ZecOps, mientras tanto, parecía ser fiel a su relación, diciendo en Twitter:

Según los datos de ZecOps, algunas vulnerabilidades se han activado por naturaleza para esta vulnerabilidad. Queremos agradecer a Apple por trabajar en un parche y esperamos actualizar nuestros dispositivos cuando estén disponibles. ZecOps publicará más información y POC una vez que haya un parche disponible.

ZecOps dijo que, basándose en los datos recopilados en los iPhones que cree que han sido explotados, los investigadores de la compañía pudieron escribir un exploit de prueba que tomó el control total de los dispositivos completamente actualizados. ZecOps se negó a publicar el exploit u otros datos hasta que Apple publique una solución para el error. Apple ya lanzó el parche para una versión beta de la próxima versión 13.4.5 y, como se indicó en la declaración del jueves por la noche, los planes de la compañía lo pondrán a disposición pronto.

La controversia, la negación de Apple y la rareza de las vulnerabilidades de clic cero en iOS son ciertamente razones de escepticismo. Vale la pena revisar la información adicional que ZecOps se ha comprometido a publicar una vez que Apple haya lanzado una solución.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *