Apple soluciona un fallo de día cero en el nuevo iPhone que se utilizaba en hackeos con software espía Paragon.
El fabricante del iPhone actualizó discretamente un aviso de seguridad de febrero para informar sobre una vulnerabilidad que fue utilizada para hackear al menos a dos periodistas en Europa.
Investigadores anunciaron que dos periodistas europeos fueron víctimas de un hackeo en sus iPhones mediante un software espía desarrollado por Paragon. Apple ha afirmado haber solucionado la vulnerabilidad que permitió el hackeo de estos dispositivos. Según un informe de Citizen Lab, Apple comunicó que la falla utilizada en los ataques fue “mitigada en iOS 18.3.1”, una actualización de software para iPhones lanzada el 10 de febrero. Hasta esta semana, el aviso sobre esa actualización de seguridad solo mencionaba una falla no relacionada, que permitía a los atacantes desactivar un mecanismo de seguridad del iPhone, dificultando el desbloqueo del dispositivo.
Sin embargo, el jueves, Apple actualizó el aviso de febrero para incluir información sobre una nueva vulnerabilidad que también fue solucionada en ese momento, pero que no se había hecho pública. El aviso ahora actualizado menciona: “Existía un problema lógico al procesar una foto o video maliciosamente creado compartido a través de un enlace de iCloud. Apple es consciente de un informe que indica que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos”. En la versión final de su informe publicada el jueves, Citizen Lab confirmó que esta vulnerabilidad fue utilizada contra el periodista italiano Ciro Pellegrino y otro periodista europeo “prominente” cuyo nombre no fue revelado.
No está claro por qué Apple no divulgó la existencia de esta falla corregida hasta cuatro meses después del lanzamiento de la actualización de iOS, y un portavoz de la compañía no respondió a las solicitudes de comentarios sobre el asunto. La controversia en torno al spyware de Paragon comenzó en enero, cuando WhatsApp notificó a aproximadamente 90 de sus usuarios, incluidos periodistas y activistas de derechos humanos, que habían sido blanco del software espía conocido como Graphite. Al final de abril, varios usuarios de iPhone recibieron una notificación de Apple informándoles que habían sido objetivos de spyware mercenario, aunque la alerta no mencionaba a la compañía detrás de la campaña de hackeo.
El jueves, Citizen Lab publicó sus hallazgos, confirmando que dos de los periodistas que recibieron esa notificación de Apple fueron hackeados con el spyware de Paragon. Aún no se sabe si todos los usuarios de Apple que recibieron la alerta también fueron blanco de Graphite. La notificación de Apple indicaba que “hoy se está enviando esta alerta a usuarios afectados en 100 países”.
