Clasen et al.
Cuando apaga un iPhone, no se apaga completamente. Los chips dentro del dispositivo continúan funcionando en un modo de bajo consumo que hace posible localizar dispositivos perdidos o robados mediante la función Find My o usar tarjetas de crédito y llaves del automóvil después de que se agote la batería. Ahora, los investigadores han ideado una forma de abusar de este mecanismo siempre activo para ejecutar malware que permanece activo incluso cuando el iPhone parece estar apagado.
Resulta que el chip Bluetooth del iPhone, que es clave para que funciones como Find My funcionen, no tiene ningún mecanismo para firmar digitalmente o incluso cifrar el firmware que ejecuta. Académicos de la Universidad Técnica de Darmstadt en Alemania descubrieron cómo explotar esta falta de endurecimiento para ejecutar firmware malicioso que permite al atacante rastrear la ubicación del teléfono o ejecutar nuevas funciones cuando el dispositivo está apagado.
Este video proporciona una descripción general de algunas de las formas en que puede funcionar un ataque.
[Paper Teaser] Evil Never Sleeps: cuando el malware inalámbrico permanece activado después de apagar los iPhones
La investigación es la primera, o al menos entre las primeras, en estudiar el riesgo que representan los chips que se ejecutan en modo de bajo consumo. No debe confundirse con el modo de bajo consumo de iOS para conservar la vida útil de la batería, el modo de bajo consumo (LPM) en esta investigación permite que los chips responsables de la comunicación de campo cercano, la banda ultraancha y Bluetooth funcionen en un modo especial que puede permanecer encendido durante 24 horas después de apagar un dispositivo.
“La implementación actual de LPM en los iPhone de Apple es opaca y agrega nuevas amenazas”, escribieron los investigadores en un papel publicado la semana pasada. “Dado que la compatibilidad con LPM se basa en el hardware del iPhone, no se puede eliminar con las actualizaciones del sistema. Por lo tanto, tiene un efecto duradero en el modelo general de seguridad de iOS. Hasta donde sabemos, somos los primeros en investigar las funciones LPM no documentadas introducidas en iOS 15 y descubrimos varios problemas”.
Agregaron: “El diseño de las características de LPM parece estar impulsado principalmente por la funcionalidad, sin considerar amenazas fuera de las aplicaciones previstas. Find My after power off convierte los iPhone apagados en dispositivos de seguimiento por diseño, y la implementación dentro del firmware de Bluetooth no está protegida contra la manipulación”.
Los hallazgos tienen un valor limitado en el mundo real, ya que las infecciones requerían un iPhone con jailbreak, lo que en sí mismo es una tarea difícil, particularmente en un entorno adversario. Aún así, apuntar a la función siempre activa en iOS podría resultar útil en escenarios posteriores a la explotación por parte de malware como Pegasus, la sofisticada herramienta de explotación de teléfonos inteligentes de NSO Group con sede en Israel, que los gobiernos de todo el mundo emplean de forma rutinaria para espiar a los adversarios. También es posible infectar los chips en caso de que los piratas informáticos descubran fallas de seguridad que son susceptibles de ataques por aire similares a este que funcionó contra los dispositivos Android.
Además de permitir que el malware se ejecute mientras el iPhone está apagado, los exploits dirigidos a LPM también podrían permitir que el malware opere con mucho más sigilo, ya que LPM permite que el firmware conserve la energía de la batería. Y, por supuesto, las infecciones de firmware ya son extremadamente difíciles de detectar, ya que requieren una gran experiencia y un equipo costoso.
Los investigadores dijeron que los ingenieros de Apple revisaron su artículo antes de que se publicara, pero los representantes de la compañía nunca proporcionaron comentarios sobre su contenido. Los representantes de Apple no respondieron a un correo electrónico en busca de comentarios para esta historia.
En última instancia, Find My y otras funciones habilitadas por LPM ayudan a brindar seguridad adicional porque permiten a los usuarios ubicar dispositivos perdidos o robados y bloquear o desbloquear las puertas del automóvil incluso cuando las baterías están agotadas. Pero la investigación expone un arma de doble filo que, hasta ahora, ha pasado desapercibida.
“Los ataques de hardware y software similares a los descritos han demostrado ser prácticos en un entorno del mundo real, por lo que los temas tratados en este documento son oportunos y prácticos”, John Loucaides, vicepresidente senior de estrategia de la firma de seguridad de firmware Eclypsium. “Esto es típico para todos los dispositivos. Los fabricantes agregan funciones todo el tiempo y con cada nueva función surge una nueva superficie de ataque”.