Google encuentra un nivel de estado-nación de ataques en iPhone

Cuando se trata de seguridad móvil, a los usuarios se les advierte de manera rutinaria que tengan mucho cuidado y eviten enlaces, correos electrónicos y archivos adjuntos sospechosos. Pero el crecimiento de los ataques sin clic elude estas defensas blandas.

Google perforó recientemente uno de esos ataques, que resultó haber golpeado un iPhone. “Evaluamos que este es uno de los exploits técnicamente más sofisticados que jamás hayamos visto, lo que demuestra aún más que las capacidades (un proveedor) brindan competencia a las que anteriormente se pensaba que solo eran accesibles para un puñado de estados nacionales”. dijo el aviso de Google.

La parte más aterradora del informe de Google, y hay una lote de partes aterradoras, es que viola una de las reglas no escritas de las alertas de seguridad, a saber, que no es óptimo informar los detalles de un ataque para el cual no existe una defensa efectiva. Estoy de acuerdo con Google aquí en que los detalles deben discutirse para que la comunidad pueda inventar una defensa más rápidamente.

“Se ha documentado que NSO está ofreciendo a sus clientes tecnología de explotación sin clic, donde incluso los objetivos con conocimientos técnicos que podrían no hacer clic en un enlace de phishing ignoran por completo que están siendo atacados. En el escenario de cero clics, no se requiere interacción del usuario. Es decir, el atacante no necesita enviar mensajes de phishing. El exploit simplemente funciona en silencio en segundo plano. Aparte de no usar un dispositivo, no hay forma de evitar la explotación mediante un exploit sin clic. Es un arma contra la que no hay defensa”.

Con ese pensamiento reconfortante, pasemos a los detalles.

El gráfico que no es realmente un gráfico

La compañía detrás del software utilizado en estos ataques, NSO, según se informa, utiliza un truco de GIF falso para atacar una vulnerabilidad en el analizador de PDF CoreGraphics. Los archivos tienen una extensión .gif, pero no son archivos de imagen GIF. El nombre está diseñado únicamente para evitar que un usuario se preocupe.

Derechos de autor © 2022 IDG Communications, Inc.