La última característica de seguridad de Apple para el iPhone ha complicado la vida a los fabricantes de spyware.
Créditos de la imagen: Paul Morris/Bloomberg / Getty Images
En un mar de novedades brillantes anunciadas por Apple esta semana, la empresa tecnológica también reveló nueva tecnología de seguridad para sus últimos iPhone 17 y iPhone Air. Esta nueva tecnología de seguridad fue creada específicamente para combatir a los proveedores de vigilancia y los tipos de vulnerabilidades en los que confían más, según Apple.
La característica se llama Memory Integrity Enforcement (MIE), y está diseñada para ayudar a detener los errores de corrupción de memoria, que son algunas de las vulnerabilidades más comunes explotadas por desarrolladores de spyware y fabricantes de dispositivos forenses de teléfonos utilizados por la policía.
“Las cadenas mercenarias de spyware conocidas utilizadas contra iOS comparten un denominador común con aquellas que atacan a Windows y Android: explotan vulnerabilidades de seguridad de memoria, que son intercambiables, poderosas y existen en toda la industria,” escribió Apple en su blog.
Expertos en ciberseguridad, incluidos aquellos que desarrollan herramientas y exploits para iPhones, le dijeron a TechCrunch que esta nueva tecnología de seguridad podría hacer que los nuevos iPhones de Apple sean algunos de los dispositivos más seguros del planeta. El resultado es probable que haga la vida más difícil para las empresas que fabrican spyware y exploits de día cero para plantar spyware en un objetivo o extraer datos de él.
“El iPhone 17 probablemente es ahora el entorno de computación más seguro del planeta que aún está conectado a Internet,” dijo un investigador de seguridad que ha trabajado durante años en el desarrollo y venta de días cero y otras capacidades cibernéticas al gobierno de EE. UU. a TechCrunch.
El investigador le dijo a TechCrunch que MIE elevará el costo y el tiempo para desarrollar sus exploits para los últimos iPhones, y, en consecuencia, aumentará sus precios para los clientes pagadores.
“Esto es un gran trato,” dijo el investigador, que pidió permanecer anónimo para discutir asuntos sensibles. “No es hack proof. Pero es lo más cercano a hack proof que tenemos. Nada de esto será nunca 100% perfecto. Pero eleva las apuestas.”
¿Desarrollas spyware o exploits de día cero y estás estudiando los posibles efectos de la MIE de Apple? Nos encantaría saber cómo te afecta. Desde un dispositivo no laboral, puedes contactar a Lorenzo Franceschi-Bicchierai de manera segura en Signal en +1 917 257 1382, o a través de Telegram y Keybase @lorenzofb, o por correo electrónico. También puedes contactar a TechCrunch a través de SecureDrop.
Jiska Classen, profesora e investigadora que estudia iOS en el Instituto Hasso Plattner en Alemania, estuvo de acuerdo en que MIE elevará el costo de desarrollar tecnologías de vigilancia.
Classen dijo que esto es porque algunos de los errores y exploits que las empresas de spyware y los investigadores tienen actualmente que funcionan dejarán de funcionar una vez que los nuevos iPhones estén en el mercado y MIE se haya implementado.
“Podría imaginarme que durante un cierto período de tiempo algunos proveedores mercenarios de spyware no tendrán exploits que funcionen para el iPhone 17,” dijo Classen.
“Esto hará que su vida sea infinitamente más difícil,” dijo Patrick Wardle, un investigador que dirige una startup que fabrica productos de ciberseguridad específicamente para dispositivos de Apple. “Por supuesto, esto se dice con la salvedad de que siempre es un juego de gato y ratón.”
Wardle dijo que las personas que están preocupadas por ser hackeadas con spyware deberían actualizar a los nuevos iPhones.
Los expertos con los que habló TechCrunch dijeron que MIE reducirá la eficacia de los hackeos remotos, como aquellos lanzados con spyware como el Pegasus de NSO Group y el Graphite de Paragon. También ayudará a proteger contra los hackeos de dispositivos físicos, como aquellos realizados con hardware de desbloqueo de teléfonos como Cellebrite o Graykey.
Tomando el “mayoría de exploits”
La mayoría de los dispositivos modernos, incluidos la mayoría de los iPhones actuales, ejecutan software escrito en lenguajes de programación que son propensos a errores de memoria, a menudo denominados errores de desbordamiento o corrupción de memoria. Cuando se desencadenan, un error de memoria puede causar que el contenido de la memoria de una aplicación se derrame en otras áreas del dispositivo de un usuario donde no debería ir.
Los errores de memoria pueden permitir a los hackers maliciosos acceder y controlar partes del dispositivo de un usuario que no deberían tener acceso. El acceso puede utilizarse para plantar código malicioso que es capaz de obtener un acceso más amplio a los datos almacenados en la memoria del teléfono y exfiltrarlos a través de la conexión a Internet del teléfono.
MIE se propone defenderse contra estos tipos de ataques de memoria amplios reduciendo la superficie de ataque en la que se pueden explotar las vulnerabilidades de memoria.
Según Halvar Flake, experto en ciberseguridad ofensiva, los errores de memoria “son la mayoría de los exploits”.
MIE se basa en una tecnología llamada Memory Tagging Extension (MTE) desarrollada originalmente por el fabricante de chips Arm. En su blog, Apple dijo que durante los últimos cinco años había trabajado con Arm para expandir y mejorar las características de seguridad de la memoria en un producto llamado Enhanced Memory Tagging Extension (EMTE).
MIE es la implementación de Apple de esta nueva tecnología de seguridad, que aprovecha el control completo de Apple sobre su pila tecnológica, desde el software hasta el hardware, a diferencia de la mayoría de sus competidores de fabricación de teléfonos.
Google ofrece MTE para algunos dispositivos Android; la versión de Android centrada en la seguridad, GrapheneOS, también ofrece MTE.
Pero otros expertos dicen que la MIE de Apple va un paso más allá. Flake dijo que el Pixel 8 y GrapheneOS son “casi comparables”, pero que los nuevos iPhones serán “los más seguros del mercado”.
MIE funciona asignando a cada pieza de la memoria de un nuevo iPhone una etiqueta secreta, efectivamente su propia contraseña única. Esto significa que solo las aplicaciones con esa etiqueta secreta podrán acceder a la memoria física en el futuro. Si la etiqueta secreta no coincide, las protecciones de seguridad se activan y bloquean la solicitud, la aplicación se bloquea y el evento se registra.
Ese bloqueo y registro es particularmente significativo ya que es más probable que el spyware y los exploits de día cero desencadenen un bloqueo, lo que facilita que Apple y los investigadores de seguridad que estudian los ataques los detecten.
“Un paso en falso llevaría a un bloqueo y un posible artefacto recuperable para un defensor,” dijo Matthias Frielingsdorf, vicepresidente de investigación en iVerify, una empresa que fabrica una aplicación para proteger los smartphones del spyware. “Los atacantes ya tenían una motivación para evitar la corrupción de memoria.”
Apple no respondió a una solicitud de comentarios.
MIE estará habilitado por defecto en todo el sistema, lo que significa que protegerá aplicaciones como Safari y iMessage, que pueden ser puntos de entrada para el spyware. Pero las aplicaciones de terceros tendrán que implementar MIE por su cuenta para mejorar las protecciones para sus usuarios. Apple publicó una versión de EMTE para los desarrolladores.
En otras palabras, MIE es un gran paso en la dirección correcta, pero tomará algún tiempo ver su impacto, dependiendo de cuántos desarrolladores lo implementen y cuántas personas compren nuevos iPhones.
Algunos atacantes inevitablemente encontrarán una manera.
“MIE es una buena cosa y podría ser un gran trato. Podría aumentar significativamente el costo para los atacantes y hasta obligar a algunos de ellos a salir del mercado,” dijo Frielingsdorf. “Pero habrá muchos actores malos que aún puedan encontrar éxito y mantener su negocio.”
“Mientras haya compradores, habrá vendedores,” dijo Frielingsdorf.