Nuevas investigaciones de seguridad de Laboratorios de amenazas de Jamf Puede que no refleje un ataque activo, pero sí ilustra la complejidad en capas del entorno de amenazas actual.
Cuando el modo Avión no es modo Avión
En resumen, los investigadores han descubierto una prueba de concepto de ataque que engaña a las víctimas haciéndoles creer que están utilizando el Modo Avión. Sin embargo, en realidad el atacante ha implementado una versión falsa de ese modo que parece normal pero le permite mantener el acceso al dispositivo.
Este no es de ninguna manera un ataque sencillo y no se ha visto en la naturaleza. El exploit es complejo y requeriría que un atacante tomara con éxito el control del dispositivo objetivo a través de una serie de exploits, afirma la investigación.
Este es un ataque astuto en el sentido de que las conexiones a Internet a las aplicaciones de un usuario se cortan cuando ingresan al Modo Avión falso, por lo que parece que está funcionando. Y, sin embargo, mientras tanto, el exploit puede continuar extrayendo datos del dispositivo. Los investigadores señalan que algunos usuarios de iPhone cambian al modo avión para mejorar su propia seguridad.
Puede Obtenga más información sobre el exploit aquí..
No es un truco trivial.
Para implementar el exploit, el equipo reemplazó elementos a nivel del sistema operativo, incluida la alteración de comandos difíciles de encontrar dentro del sistema operativo.
Para que fuera convincente, también tuvieron que descubrir cómo hacer que la interfaz de usuario actuara como si las cosas estuvieran fuera de línea en el modo falso y también cómo engañar al sistema operativo para que cortara el acceso a la red a todo excepto al malware dentro del dispositivo.
¿Deberíamos preocuparnos?
Apple mantiene las plataformas más seguras del mundo, pero hacerlo es una campaña constante. Si bien los incidentes de seguridad importantes son relativamente poco frecuentes, existen. De hecho, si bien es cierto que existe una industria de expertos en seguridad dedicados a identificar amenazas para vender a las personas protección contra tales abusos, eso no significa que no deba existir.
Piense en las propias acciones de Apple. Su decisión de introducir el modo de bloqueo fue un reflejo directo de los entornos de amenazas cada vez más complejos en los que existimos. La introducción de ese modo siguió a ataques muy publicitados por parte de NSO Group y otros.
Y más recientemente, Los investigadores de AT&T Alien Labs afirman Según sugiere ese informe, se han identificado alrededor de 10.000 Mac infectados que se utilizan para soportar el malware AdLoad.
“Los usuarios de dispositivos MacOS son un objetivo lucrativo para los adversarios detrás de este malware y están siendo engañados para descargar e instalar aplicaciones no deseadas”, afirma ese informe.
Negación de la realidad
Casos de investigación y prueba de concepto como estos no sugieren que las plataformas de Apple se estén volviendo más inseguras, pero deben verse como advertencias de que los intentos de socavar la seguridad de las plataformas se están intensificando.
Eso no significa que todos los usuarios de Mac, iPad o iPhone, o todos los administradores de flotas, deban apagar inmediatamente todos los dispositivos, limitar el acceso a la red e invertir en todo tipo de tecnología de protección contra malware disponible para nosotros aquí en nuestro todavía verde en parches. planeta.
Lo que sí significa es que se deben priorizar los intentos de proteger el punto más vulnerable de cualquier tecnología: los humanos que la utilizan.
Después de todo, como muestra la prueba de concepto de Jamf, es posible que lo que crees que ves no siempre sea lo que hay. Esta es también, por supuesto, la razón por la que es algo inevitable que el monitoreo de seguridad telemático en el dispositivo forme parte del futuro de la seguridad de la plataforma Apple. Probablemente por eso Jamf adquirió ZecOps en 2022.
