Los investigadores están desarrollando malware para iPhone que se ejecuta incluso cuando el dispositivo está apagado


Los investigadores están desarrollando malware para iPhone que se ejecuta incluso cuando el dispositivo está apagado

Classen et al.

Apagar un iPhone no lo apaga por completo. Los chips dentro del dispositivo siguen funcionando en un modo de bajo consumo que le permite localizar dispositivos perdidos o robados con la función Find My o usar tarjetas de crédito y llaves del automóvil después de que se agote la batería. Ahora, los investigadores han encontrado una manera de abusar de este mecanismo siempre activo para ejecutar malware que permanece activo incluso cuando el iPhone parece estar apagado.

Resulta que el chip Bluetooth del iPhone, que es clave para que funciones como Find My funcionen, no tiene ningún mecanismo para firmar digitalmente, y mucho menos cifrar, el firmware que se ejecuta en él. Académicos de la Universidad Técnica de Darmstadt han descubierto cómo explotar esta falta de endurecimiento para ejecutar firmware malicioso que permite al atacante rastrear la ubicación del teléfono o ejecutar nuevas funciones cuando el dispositivo está apagado.

Este video proporciona una descripción general de alto nivel de algunas de las formas en que puede funcionar un ataque.

[Paper Teaser] Evil Never Sleeps: cuando el malware inalámbrico permanece activo después de apagar el iPhone

La investigación es la primera, o al menos una de las primeras, en examinar el riesgo que representan los chips que se ejecutan en modo de bajo consumo. No debe confundirse con el modo de bajo consumo de iOS para prolongar la duración de la batería, el modo de bajo consumo (LPM) de este estudio permite que los chips responsables de las comunicaciones de campo cercano, la banda ultraancha y Bluetooth funcionen en un modo especial que puede permanecer encendido durante 24 horas después de que se haya apagado un dispositivo.

«La implementación actual de LPM en los iPhone de Apple es opaca y agrega nuevas amenazas», escribieron los investigadores en un artículo publicado la semana pasada. «Debido a que la compatibilidad con LPM es un hardware basado en el iPhone, no se puede eliminar con las actualizaciones del sistema. Por lo tanto, tiene un profundo impacto en todo el modelo de seguridad de iOS. Hasta donde sabemos, somos los primeros en abordar las funciones LPM no documentadas introducidas en iOS 15 y descubrimos varios problemas».

Agregaron: «El diseño de las características de LPM parece estar impulsado principalmente por la funcionalidad, sin considerar amenazas fuera de las aplicaciones previstas. Find My después del apagado convierte los iPhones apagados en dispositivos de rastreo por diseño, y la implementación dentro del firmware de Bluetooth no es a prueba de manipulaciones”.

Los resultados tienen un valor limitado en el mundo real, ya que las infecciones requerían un iPhone con jailbreak, lo que en sí mismo es una tarea difícil, especialmente en un entorno hostil. Aún así, apuntar a la función siempre activa en iOS podría resultar útil en escenarios posteriores a la explotación por parte de malware como Pegasus, la sofisticada herramienta de explotación de teléfonos inteligentes de NSO Group con sede en Israel que los gobiernos de todo el mundo utilizan habitualmente para espiar a los oponentes. También es posible infectar los chips si los piratas informáticos descubren vulnerabilidades propensas a explotaciones inalámbricas similares a las que han funcionado en dispositivos Android.

Además de permitir que el malware se ejecute mientras el iPhone está apagado, los exploits dirigidos a LPM también podrían permitir que el malware funcione con mucho más sigilo, ya que LPM permite que el firmware conserve la energía de la batería. Y, por supuesto, las infecciones de firmware ya son extremadamente difíciles de detectar y requieren una experiencia significativa y un equipo costoso.

Los investigadores dijeron que los ingenieros de Apple revisaron su artículo antes de la publicación, pero los funcionarios de la compañía nunca proporcionaron comentarios sobre el contenido. Los funcionarios de Apple no respondieron a un correo electrónico solicitando comentarios sobre esta historia.

Finalmente, «Find My» y otras funciones habilitadas para LPM agregan seguridad adicional al permitir a los usuarios ubicar dispositivos perdidos o robados y bloquear o desbloquear las puertas del automóvil incluso cuando las baterías están agotadas. Pero la investigación revela un arma de doble filo que hasta ahora ha pasado desapercibida.

«Los ataques de hardware y software similares a los descritos han demostrado ser prácticos en el campo, por lo que los temas discutidos en este documento son oportunos y prácticos», dijo John Loucaides, vicepresidente senior de estrategia de la firma de seguridad de firmware Eclipsium. “Esto es típico para todos los dispositivos. Los proveedores agregan funciones constantemente, y con cada nueva función surge una nueva superficie de ataque”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.