Clicky

Alerta para usuarios de iPhone: los expertos advierten sobre un ataque en modo de bloqueo falso y furtivo

seguridad en el iPhone

El modo de bloqueo fue introducido por Apple el año pasado con iOS 16

Actores maliciosos pueden abusar de una nueva "técnica de manipulación post-explotación" para engañar visualmente a un objetivo haciéndole creer que su iPhone de Apple está funcionando en modo de bloqueo o aislamiento cuando en realidad no es así y llevar a cabo ataques encubiertos.

El novedoso método, detallado por Jamf Threat Labs en un informe, "muestra que si un hacker ya se ha infiltrado en su dispositivo, puede hacer que se 'evite' el modo de bloqueo cuando activa su activación".

En otras palabras, el objetivo es implementar el falso modo de bloqueo en un dispositivo que está comprometido por un atacante a través de otros medios, como fallas de seguridad sin parchear que pueden desencadenar la ejecución de código arbitrario.

El modo de bloqueo o aislamiento, introducido por Apple el año pasado con iOS 16, es una medida de seguridad mejorada que tiene como objetivo proteger a las personas de alto riesgo de sofisticadas amenazas digitales, como el software espía mercenario, minimizando la superficie de ataque.

Lo que no hace es evitar la ejecución de cargas útiles maliciosas en un dispositivo comprometido, permitiendo así que un troyano implementado en él manipule el modo de bloqueo y brinde a los usuarios una ilusión de seguridad.

"En el caso de un teléfono infectado, no existen salvaguardas para evitar que el malware se ejecute en segundo plano, ya sea que el usuario active el modo de bloqueo o no", dijeron los investigadores de seguridad Hu Ke y Nir Avraham.

falso modo de bloqueo en el iPhone

El modo de bloqueo falso se logra conectando funciones que se activan al activar la configuración, por ejemplo, setLockdownModeGloballyEnabled, lockModeEnabled, e isLockdownModeEnabledForSafari – para crear un archivo llamado "/fakelockdownmode_on" e iniciar un reinicio del espacio de usuario, que finaliza todos los procesos y reinicia el sistema sin tocar el kernel.

Esto también significa que un malware implantado en el dispositivo sin ningún mecanismo de persistencia seguirá existiendo incluso después de un reinicio de este tipo y espiará subrepticiamente a sus usuarios.

"Al engañar al usuario haciéndole creer que su dispositivo está funcionando normalmente y que se pueden activar funciones de seguridad adicionales, es mucho menos probable que el usuario sospeche que se está produciendo alguna actividad maliciosa detrás de escena", dijo Michael Covington, vicepresidente de estrategia de cartera de Jamf.

"No esperábamos que una función de seguridad tan publicitada separara la interfaz de usuario de la realidad de la implementación".

Es más, un adversario podría alterar el modo de bloqueo en el navegador web Safari para permitir ver archivos PDF, que de otro modo estarían bloqueados cuando la configuración está activada.

"Desde iOS 17, Apple ha elevado el modo de bloqueo al nivel del kernel", dijeron los investigadores. "Este movimiento estratégico es un gran paso para mejorar la seguridad, ya que los cambios realizados por el modo de bloqueo en el kernel generalmente no se pueden deshacer sin reiniciar el sistema, gracias a las mitigaciones de seguridad existentes".

La divulgación de Jamf llega casi cuatro meses después de que demostrara otro novedoso método en iOS 16 del que se podría abusar para pasar desapercibido y mantener el acceso a un dispositivo Apple engañando a la víctima haciéndole creer que está habilitado el modo avión de su dispositivo.

"La investigación de Jamf sobre el modo avión falso y el modo de bloqueo falso ha explorado cómo las interfaces transmiten confianza y brindan a los usuarios garantías de que un dispositivo es seguro", dijo Covington. "Nuestros hallazgos muestran que las interfaces de usuario pueden alterarse fácilmente".

"Ya sea un ataque de phishing entregado a través de HTTPS para engañar al usuario haciéndole creer que un sitio es 'seguro' o un malware que engaña al usuario haciéndole creer que están activas funciones de seguridad como el Modo Avión o el Modo Bloqueo, está claro que está cambiando el panorama de amenazas. Consideramos que estos desarrollos son una evolución de las técnicas de ingeniería social y esperamos verlos utilizados más activamente en el futuro".