enero 24, 2025

Los investigadores han ideado un malware para iPhone que funciona incluso cuando el dispositivo está apagado

Los investigadores han ideado un malware para iPhone que funciona incluso cuando el dispositivo está apagado

Classen et al.

Cuando apagas un iPhone, no se apaga por completo. Los chips dentro del dispositivo continúan funcionando en un modo de bajo consumo que le permite localizar dispositivos perdidos o robados mediante la función Find My o usar tarjetas de crédito y llaves del automóvil después de que se agote la batería. Ahora, los investigadores han ideado una forma de abusar de este mecanismo siempre activo para ejecutar malware que permanece activo incluso cuando el iPhone parece estar apagado.

Resulta que el chip Bluetooth del iPhone, que es clave para que funciones como Find My Work funcionen, no tiene ningún mecanismo para firmar digitalmente o incluso cifrar el firmware que ejecuta. Académicos de la Universidad Técnica Alemana de Darmstadt han descubierto cómo aprovechar esta falta de endurecimiento para ejecutar firmware malicioso que permite al atacante rastrear la ubicación del teléfono o realizar una nueva funcionalidad cuando el dispositivo está apagado.

Este video proporciona una descripción general de algunas de las formas en que puede funcionar un ataque.

[Paper Teaser] Evil Never Sleeps: cuando el malware inalámbrico permanece activo después de apagar los iPhones

La investigación es la primera, o al menos entre las primeras, en estudiar el riesgo que representan los chips que funcionan en modo de bajo consumo. No debe confundirse con el modo de bajo consumo de iOS para preservar la duración de la batería, el modo de bajo consumo (LPM) en esta búsqueda permite que los chips responsables de la comunicación de campo cercano, la banda ultraancha y Bluetooth funcionen en un modo especial que puede permanecerá activo durante 24 horas después de que se apague un dispositivo.

“La implementación actual de LPM en los iPhone de Apple es opaca y agrega nuevas amenazas”, escribieron los investigadores en un artículo publicado la semana pasada. “Dado que la compatibilidad con LPM se basa en el hardware del iPhone, no se puede eliminar con las actualizaciones del sistema. Por lo tanto, tiene un efecto duradero en el modelo general de seguridad de iOS. Por lo que sabemos, somos los primeros en analizar las funciones LPM no documentadas introducidas en iOS 15 y descubrir varios problemas”.

Agregaron: “El diseño de las características de LPM parece estar impulsado principalmente por características, sin considerar amenazas fuera de las aplicaciones previstas. Find mine after shutdown convierte a los iPhone en dispositivos de seguimiento por diseño e implementación dentro del firmware de Bluetooth que no está protegido contra la manipulación.

Los hallazgos tienen un valor limitado en el mundo real, ya que las infecciones requieren un iPhone con jailbreak, lo que en sí mismo es una tarea difícil, particularmente en un contexto contradictorio. Sin embargo, apuntar a la función siempre activa en iOS podría resultar útil en escenarios posteriores a la explotación por parte de malware como Pegasus, la sofisticada herramienta de explotación de teléfonos inteligentes del grupo israelí NSO, que los gobiernos de todo el mundo utilizan regularmente para espiar a sus oponentes. También es posible infectar los chips en caso de que los piratas informáticos descubran agujeros de seguridad susceptibles de ataques por aire similares a este que funcionó contra los dispositivos Android.

Además de permitir que el malware se ejecute mientras el iPhone está apagado, los exploits dirigidos a LPM también podrían permitir que el malware funcione mucho más sigilosamente, ya que LPM permite que el firmware ahorre energía de la batería. Y, por supuesto, las infecciones de firmware ya son extremadamente difíciles de detectar, ya que requieren habilidades significativas y equipos costosos.

Los investigadores dijeron que los ingenieros de Apple revisaron su artículo antes de que se publicara, pero los representantes de la compañía nunca proporcionaron comentarios sobre su contenido. Los representantes de Apple no respondieron a un correo electrónico en busca de comentarios para esta historia.

Finalmente, Find Mine y otras funciones habilitadas para LPM ayudan a brindar mayor seguridad al permitir a los usuarios ubicar dispositivos perdidos o robados y bloquear o desbloquear las puertas del automóvil incluso cuando las baterías están bajas. Pero la investigación revela un arma de doble filo que, hasta ahora, ha pasado desapercibida.

“Los ataques de hardware y software similares a los descritos han demostrado ser prácticos en un entorno del mundo real, por lo que los temas tratados en este documento son oportunos y prácticos”, dijo John Loucaides, vicepresidente senior de estrategia de la firma de seguridad de firmware Eclypsium. “Esto es típico para todos los dispositivos. Los fabricantes agregan funciones continuamente y con cada nueva función surge una nueva superficie de ataque”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *