¿Tiene Apple la culpa de no detener a Pegasus?
Lo aterrador de las revelaciones de Pegasus es la idea de la vigilancia invisible. Obviamente, el desarrollador de Pegasus NSO y los países que utilizan su software están más interesados en el contenido de los teléfonos propiedad de jefes de estado, activistas y periodistas políticos que en el propietario promedio de un iPhone. échale un vistazo si lo investigaron. (Si está preocupado, lea cómo verificar su iPhone en busca de software espía Pegasus de NSO).
Pegasus puede y se ha utilizado en teléfonos Android, pero se ha prestado mucha más atención al hecho de que funciona en iPhones. The Washington Post describe cómo el iPhone 11 de la esposa de un disidente marroquí fue pirateado para enviarle un iMessage: un llamado ataque de cero clic que tuvo lugar mientras ella estaba en Francia. Incluso la actualización a la última versión de iOS no parece ofrecer ninguna protección.
Tal vez esta preocupación con el iPhone sea un poco injusta para Apple, que siempre parece estar haciendo más que su parte justa de titulares negativos (en Macworld EE. UU., Macalope rechaza esta percepción y llama a la amenaza "mucho ruido para Android". ") pero tampoco es del todo injustificado, ya que la propia empresa con sede en Cupertino ha trabajado tan duro para crear una imagen del iPhone como el modelo definitivo de seguridad y privacidad.
¿Hackers ingeniosos o Apple descuidado?
En el pasado reciente, el iPhone se consideraba en gran parte inmune a los ataques de los piratas informáticos y los servicios secretos del gobierno: incluso los abogados y periodistas confiaban demasiado ingenuamente en la promesa de Apple según la cual nadie podía acceder a los datos de sus dispositivos. Pero la pregunta relevante no es cómo sucedió esto; la pregunta es si puedes culpar a Apple. ¿Es Apple simplemente víctima de ingeniosos piratas informáticos o se puede acusar a Cupertino de una mezcla de promesas publicitarias falsas, negligencia y codicia?
Ya ha habido reacciones de Apple: Cupertino niega que la amenaza afecte a muchos usuarios. Los ataques son demasiado sofisticados para eso, según Ivan Krstić, jefe de arquitectura de ingeniería y seguridad de Apple. Los métodos de ataque informados tienen una vida útil muy corta y su desarrollo cuesta millones. Como resultado, solo un pequeño número de individuos de alto valor serían atacados de esta manera; no supondría una amenaza para la gran mayoría de usuarios.
Este argumento no es del todo incorrecto. La base de datos de 50.000 números de teléfono no permite sacar conclusiones firmes sobre la cantidad de personas monitoreadas, pero se cree que los aproximadamente 60 clientes de NSO tienen cerca de 100 personas monitoreadas cada año.
Sin embargo, estos números relativamente bajos serán de poco consuelo para víctimas como Hatice Cengiz, la prometida de Jamal Khashoggi. Según un análisis del laboratorio de seguridad de Amnistía Internacional, el iPhone de Cengiz fue pirateado repetidamente solo cuatro días después de que el periodista y el disidente fuera asesinado, aunque NSO lo niega.
Como muchos usuarios de iPhone, Cengiz habrá preguntado por qué le dijeron que el dispositivo era más seguro que otros teléfonos. Apple ha prometido repetidamente un alto nivel de seguridad de los datos. Algunos se preguntan si son promesas vacías.
Problemas con iMessage
Pegasus no utiliza programas de terceros para acceder a los iPhones. Las víctimas a menudo son atacadas a través de aplicaciones de Apple como Messages (iMessage), Apple Music, Photos, FaceTime y Safari, y la investigación de Amnistía Internacional muestra que es iMessage el que proporciona las vulnerabilidades que utilizan los piratas informáticos.
Según los expertos, Apple tiene grandes problemas para eliminar las vulnerabilidades de iMessage. Una de las razones parece ser que la aplicación recibe constantemente nuevas funciones como Memoji y Stickers, que proporcionan constantemente nuevos puntos de ataque potenciales: cada nueva función hace que la aplicación sea más atractiva para los usuarios pero también más vulnerable para los piratas informáticos. También hay aspectos prácticos que facilitan los ataques: por ejemplo, la capacidad (y plausibilidad) de un extraño para enviarte un mensaje.
Apple conoce estos problemas. Para lidiar con él, se basa en nuevas funciones de seguridad como BlastDoor, que verifica automáticamente los archivos de imagen y las vistas previas web y tiene como objetivo proteger contra el malware.
Pero BlastDoor puede no ser suficiente. Algunos expertos en seguridad recomiendan deshabilitar iMessage por completo.
Hacer frente a las vulnerabilidades
Evidentemente, hay margen de mejora en la gestión de vulnerabilidades.
Apple ejecuta un programa de recompensas por errores, que ofrece pagar a investigadores independientes que informan sobre fallas del sistema. Es una buena idea, pero Apple parece tacaño y vacilante en la forma en que trata los informes de errores. El desarrollador Nicolas Brunner, por ejemplo, calificó el programa de mentira; informó de un error a Apple y el proceso se prolongó durante 14 meses y finalmente se omitió. "Hasta el día de hoy", escribe, "Apple rechaza cualquier pago de prima, aunque el informe en cuestión califica muy claramente bajo sus propias pautas".
Esto es especialmente evidente porque los investigadores que encuentran fallas en iOS saben que la otra parte puede pagarlas. Las empresas con las que trabaja NSO pagarán grandes recompensas por las vulnerabilidades de iOS.
Apple a menudo se mete en su propio camino. Por ejemplo, el departamento de marketing de la empresa se ve como una barrera para los altos estándares de seguridad consistentemente porque, según un ex empleado, insiste en usar ciertos mensajes predeterminados cuando se comunica con expertos en seguridad externa.
Apple, por supuesto, no es el único fabricante de teléfonos inteligentes que ha sido atacado. Como se mencionó anteriormente, Pegasus no ha escatimado en teléfonos inteligentes Android. De hecho, el efecto en Android puede ser peor, ya que los rastros de Pegasus son más difíciles de identificar en esta plataforma. Quizás es por eso que los iPhones fueron tan prominentes entre los casos identificados.
Pero, ¿qué puede hacer Apple? La compañía parece haber sido negligente al ejecutar una gran cantidad de nuevas funciones en iMessage y necesita hacer que su aplicación de chat sea más segura. Su relación con los investigadores de seguridad podría mejorarse con un pequeño desembolso económico y un poco de buena voluntad cuando se descubran vulnerabilidades.
Puede ser interesante para Apple establecer una organización activa de investigación de vulnerabilidades en la línea del grupo de análisis de amenazas de Google. Con una organización de este tipo, Apple no solo podría ofrecer más seguridad, sino también mejorar su imagen. Sin embargo, el departamento de marketing de Apple probablemente vetaría el plan, lo que da una idea del problema fundamental.
Este artículo apareció originalmente en Macwelt. Traducción de David Price.