El Project Zero and Threat Analysis Group (TAG) de Google presentó sus hallazgos sobre las actividades de un fabricante italiano deaplicaciones espía llamado RCS Labs. No es tan grande en escala o alcance como el Grupo NSO de Israel y su spyware patentado Pegasus. Sin embargo, existe desde hace algunos años y se ha utilizado en personas en Italia, Kazajstán y Siria. Incluso si el nombre de su país no está en la lista, tenga en cuenta que TAG actualmente rastrea a más de 30 proveedores de software para espiar un telefono que se han convertido en un ecosistema completo y prestan sus servicios a los gobiernos de todo el mundo. Entonces, entendamos cómo funcionan estas cosas.
¿Cómo funciona el software espía RCS Labs para Android e iOS?
El software espía se enmascarará como una aplicación My Vodafone falsa que se envía a los usuarios a través de un enlace SMS y se les engaña para que instalen la aplicación. Bueno, para convencerlos, los atacantes a veces pedían a los ISP que primero desconectaran los datos móviles y luego les pedían que instalaran la aplicación Mi Vodafone en particular para restaurar los servicios.
La aplicación parece legítima y la carga lateral funciona porque se conectó a través del programa de desarrollo empresarial de Apple. Sin embargo, Apple ha revocado todos los certificados y cuentas relacionados con esto ahora.
Hablando de transferencia lateral, Apple dijo: “Los certificados empresariales están destinados solo para uso interno de una empresa y no están destinados a la distribución general de aplicaciones, ya que pueden usarse para eludir las protecciones de App Store e iOS. . A pesar de los estrictos controles y la escala limitada del programa, los actores malintencionados han encontrado formas no autorizadas de acceder a él, como comprar certificados de empresas en el mercado negro.
Apple también arregló las vulnerabilidades utilizadas por los malos actores para infiltrarse en los iPhones de las víctimas.
Según Ian Beer, miembro de Project Zero, las hazañas tuvieron éxito en primer lugar, gracias al nuevo "sistema en chip" y "coprocesadores" utilizados en los iPhone recientes, que también se utiliza en los teléfonos Android.
Mientras tanto, el miembro de TAG, Benoit Sevens, comentó: “La industria de la vigilancia comercial se beneficia y reutiliza la investigación de la comunidad de jailbreak. En este caso, tres de los seis exploits provienen de exploits públicos de jailbreak. También estamos viendo que otros proveedores de vigilancia reutilizan técnicas y vectores de infección originalmente utilizados y descubiertos por grupos de ciberdelincuencia. Y al igual que otros atacantes, los proveedores de soluciones de vigilancia no solo usan exploits sofisticados, sino también ataques de ingeniería social para atraer a sus víctimas. »
Otro empleado de TAG, Clément Lecigne, le dijo a WIRED que “estos proveedores permiten la proliferación de herramientas de piratería peligrosas, armando a los gobiernos que tal vez no puedan desarrollar estas capacidades internamente. Pero hay poca o ninguna transparencia en esta industria, por lo que es esencial compartir información sobre estos proveedores y sus capacidades. »
Estamos de acuerdo y apreciamos a Google y otras partes involucradas en el descubrimiento de estas vulnerabilidades. Ahora, si posee un iPhone o cualquier dispositivo informático, se le recomienda mantener su software actualizado.
