Pegasus es un spyware instalado en dispositivos que ejecutan ciertas versiones de iOS, el sistema operativo móvil de Apple y Android, desarrollado por la firma cibernética israelí, NSO Group. Descubierta en agosto de 2016 después de un intento fallido de instalarlo en un iPhone perteneciente a un activista de derechos humanos, una investigación reveló detalles sobre el software espía, sus capacidades y las vulnerabilidades de seguridad que explotó. Pegasus es capaz de leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono y recopilar información de las aplicaciones. Apple lanzó la versión 9.3.5 de su software iOS para corregir las vulnerabilidades. Las noticias del spyware atrajeron una gran atención de los medios. Fue llamado el ataque de teléfono inteligente más “sofisticado” de la historia, y se convirtió en la primera vez en la historia del iPhone cuando se detectó un ataque remoto de jailbreak. La compañía que creó el spyware, NSO Group, declaró que brindan a “los gobiernos autorizados tecnología que los ayuda a combatir el terrorismo y el crimen”.
No es necesario que el usuario haga clic en ningún enlace, Pegasus habilita secretamente un jailbreak explotando vulnerabilidades en el dispositivo y puede leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono, así como recopilar información de aplicaciones que incluyen (entre otras) iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram y Skype.
Apple lanzó la versión 9.3.5 de iOS para su línea de productos para teléfonos inteligentes iPhone en agosto de 2016. Los detalles de la actualización fueron correcciones para las tres vulnerabilidades de seguridad críticas que explotó Pegasus.
Las vulnerabilidades se encontraron diez días antes de que se lanzara la actualización iOS 9.3.5. El defensor árabe de los derechos humanos Ahmed Mansoor recibió un mensaje de texto que prometía “secretos” sobre la tortura que ocurría en las prisiones de los Emiratos Árabes Unidos “, junto con un enlace. Mansoor envió el enlace a Citizen Lab. Se realizó una investigación con la colaboración de la compañía de seguridad Lookout que reveló eso si Mansoor hubiera seguido el enlace, habría jailbreak su teléfono en el lugar e implantado el spyware en él. Citizen Lab vinculó el ataque a una compañía privada de software espía israelí conocida como NSO Group, que vende Pegasus a los gobiernos por “intercepción legal”, pero existen sospechas de que se aplica para otros propósitos. NSO Group es propiedad de una firma estadounidense de capital privado, Francisco Partners.
En cuanto a la extensión del problema, Lookout explicó en una publicación del blog: “Creemos que este software espía ha estado en libertad por una cantidad significativa de tiempo basado en algunos de los indicadores dentro del código” y señaló que el código muestra signos de una “tabla de mapeo de kernel que tiene valores desde iOS 7”. El New York Times y The Times of Israel informaron que parece que los Emiratos Árabes Unidos estaban utilizando este software espía en 2013. Un par de demandas legales afirman que el Grupo NSO ayudó a los clientes a operar el software y, por lo tanto, participó en numerosas violaciones de los derechos humanos iniciadas por sus clientes.
Lookout proporcionó detalles de las tres vulnerabilidades:
- CVE-2016-4655: Fuga de información en el kernel: una vulnerabilidad de mapeo de la base del kernel que filtra información al atacante y le permite calcular la ubicación del kernel en la memoria.
- CVE-2016-4656: La corrupción de la memoria del núcleo lleva a Jailbreak: vulnerabilidades a nivel de kernel de iOS de 32 y 64 bits que permiten al atacante liberar en secreto el dispositivo e instalar un software de vigilancia.12
- CVE-2016-4657: Corrupción de la memoria en Webkit: una vulnerabilidad en Safari WebKit que permite al atacante poner en peligro el dispositivo cuando el usuario hace clic en un enlace.
