Se trata de un parche de seguridad de emergencia, por un fallo desconocido por la empresa hasta hace poco.
Fuente: elmundo.es
Los usuarios de dispositivos iOS tienen desde hoy una nueva actualización del sistema operativo pero a diferencia de las anteriores no trae nuevas funciones ni optimiza el funcionamiento. Se trata de un parche de seguridad de emergencia para un fallo desconocido por la empresa hasta hace poco y que podría comprometer la información almacenada en el teléfono o la tableta. Conviene instalar esta actualización cuanto antes.
Descubierto por la empresa de seguridad Lookout y el laboratorio Citizen Lab de la Universidad de Toronto, el fallo lleva tiempo presente en el software de la compañía, y ha sido aprovechado por al menos una compañía de vigilancia israelí, NSO Group, para crear un sofisticado kit de ataque que puede utilizarse para acceder a toda la información almacenada en el teléfono.
Este kit se vende a un elevado precio en el mercado. Según la publicación Ars Technica 300 licencias de uso tienen un precio aproximado de ocho millones de dólares, lo que lo convierten en una herramienta al alcance, fundamentalmente, de agencias gubernamentales, grandes compañías y servicios de espionaje.
Pegasus, el nombre que Lookout ha dado a este kit, puede disfrazarse como un enlace de apariencia inofensiva dentro de un mensaje en cualquier aplicación. Si se pulsa sobre él es capaz de tomar el control del sistema operativo sin dar ningún tipo de aviso al usuario y permite acceder a las llamadas realizadas o los mensajes enviados, activar las cámaras y micrófonos o seguir la localización del teléfono.
El fallo fue descubierto en el móvil de Ahmed Mansoor un disidente de los Emiratos Árabes Unidos que recibió un mensaje sospechoso el pasado 10 de agosto. Mansoor ha sido víctima en el pasado de otros intentos de ataque así que decidió llevar el teléfono a analizar al laboratorio Citizen Lab de la Universidad de Toronto.
El análisis del enlace ha permitido descubrir tres vulnerabilidades críticas no registradas hasta el momento, conocidas en el mundo de la seguridad informática como zero day. Normalmente cuando un investigador descubre una vulnerabilidad suele comunicarla a la empresa afectada y trabaja con ella para solucionar el problema antes de hacerlo púbico.Las vulnerabilidades del sistema iOS, sin embargo, están muy cotizadas en el mercado negro y agencias de espionaje o compañías de seguridad pueden llegar a pagar cantidades millonarias por sus derechos de uso, manteniéndolas en secreto.
Para tratar de frenar estas prácticas Apple ha creado recientemente un programa de recompensas que premia con cantidades que oscilan entre los 25.000 y 200.000 dólares a los expertos en seguridad que descubran vulnerabilidades importantes.
Según Citizen Lab al menos otra víctima, un periodista mexicano, podría haber sido víctima de esta herramienta, aunque al igual que Mansoor no pulsó el enlace sospechoso que hubiera comprometido su teléfono. Lookout ha publicado un extenso análisis de Pegasus -en inglés- en su web.
Leer más en:
