{"id":26105,"date":"2023-03-20T20:16:12","date_gmt":"2023-03-21T02:16:12","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26105"},"modified":"2023-03-20T20:16:12","modified_gmt":"2023-03-21T02:16:12","slug":"ios-macos-nspredicate-class-of-bugs","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ios-macos-nspredicate-class-of-bugs\/26105\/","title":{"rendered":"Por qu\u00e9 tienes que actualizar iOS y macOS lo antes posible"},"content":{"rendered":"

Las \u00faltimas versiones de iOS y iPadOS (16.3) y macOS (Ventura 13.) han solucionado las vulnerabilidades registradas como CVE-2023-23530 y CVE-2023-23531. Te explicamos la naturaleza de estos errores, por qu\u00e9 merecen tu atenci\u00f3n, qu\u00e9 tiene que ver el spyware Pegasus<\/a> con todo esto y por qu\u00e9 deber\u00edas tomarte en serio estas y otras actualizaciones de iOS, iPadOS y macOS.<\/p>\n

NSPredicate, FORCEDENTRY, Pegasus, etc.<\/h2>\n

Para explicar la importancia de estas \u00faltimas actualizaciones, necesitamos un poco de contexto. La base<\/em> (foundation<\/em> en ingl\u00e9s) de software de las aplicaciones creadas para los sistemas operativos de Apple es, aunque no lo creas, \u00a1el framework<\/em> Foundation! Aqu\u00ed est\u00e1 la descripci\u00f3n<\/a> de Apple:<\/p>\n

\u201cEl framework Foundation aporta una capa base de funcionalidad en las aplicaciones y frameworks, incluido el almacenamiento y persistencia de datos, procesamiento de textos, c\u00e1lculos de fecha y hora, clasificaci\u00f3n y filtrado <\/strong>y networking. Las clases, protocolos y tipos de datos definidos por Foundation se utilizan durante todo el SDK de macOS, iOS, watchOS y tvOS.\u201d<\/p><\/blockquote>\n

Hace poco m\u00e1s de dos a\u00f1os, en enero del 2021, un investigador de seguridad de iOS conocido como CodeColorist<\/a> public\u00f3 un informe<\/a> que mostraba c\u00f3mo se puede explotar la implementaci\u00f3n de las clases NSPredicate<\/a> y NSExpression<\/a> (ambas parte del framework Foundation) para ejecutar c\u00f3digo arbitrario. Y resulta que estas clases son responsables de ordenar y filtrar los datos<\/strong>. El problema es que actualmente, mientras redactamos esta publicaci\u00f3n, estas herramientas permiten la ejecuci\u00f3n de scripts en un dispositivo sin comprobar la firma digital del c\u00f3digo.<\/p>\n

El principal hallazgo de CodeColorist fue que estos scripts pueden ayudar a eludir los mecanismos de seguridad de Apple, incluido el aislamiento de aplicaciones. Esto permite escribir una aplicaci\u00f3n maliciosa que robe datos (como la correspondencia del usuario o fotos aleatorias de la galer\u00eda) de otras aplicaciones.<\/p>\n

En marzo del 2022 se public\u00f3 un documento sobre la implementaci\u00f3n pr\u00e1ctica<\/a> de una aplicaci\u00f3n de este tipo, el exploit de clic cero FORCEDENTRY, que se utiliz\u00f3 para propagar el malware Pegasus. Las vulnerabilidades en NSPredicate y NSExpression permit\u00edan al malware ejecutar un sandbox escape<\/a> y obtener acceso a datos y funciones fuera de los l\u00edmites estrictamente definidos dentro de los cuales funcionan todas las aplicaciones de iOS.<\/p>\n

A partir del trabajo te\u00f3rico de CodeColorist y el estudio pr\u00e1ctico del exploit FORCEDENTRY, Apple implement\u00f3 una serie de medidas y restricciones de seguridad. Sin embargo, este nuevo estudio<\/a> ha demostrado que siguen siendo f\u00e1ciles de eludir.<\/p>\n

Por qu\u00e9 las CVE-2023-23530 y CVE-2023-23531 son peligrosas<\/h2>\n

Las vulnerabilidades CVE-2023-23530 y CVE-2023-23531 se han convertido en nuevas formas de eludir estas restricciones. La primera, la CVE-2023-23530, surge a partir de c\u00f3mo Apple abord\u00f3 el problema exactamente. En concreto, elaboraron extensas listas de exclusi\u00f3n de clases y m\u00e9todos que representan un riesgo de seguridad obvio dentro de NSPredicate. El problema es que, al usar m\u00e9todos no incluidos<\/em> en las listas de exclusi\u00f3n, permitieron borrar estas listas y luego usar el conjunto completo de m\u00e9todos y clases.<\/p>\n

La segunda vulnerabilidad, la CVE-2023-23531, est\u00e1 relacionada con la forma en que interact\u00faan entre s\u00ed los procesos dentro de iOS y macOS y c\u00f3mo filtra la informaci\u00f3n el proceso de recepci\u00f3n de datos entrante. Es decir, el proceso de env\u00edo de datos puede agregarle una etiqueta de \u201ccontenido verificado\u201d y luego alimentar el proceso de recepci\u00f3n con un script malicioso que use NSPredicate, que en algunos casos se ejecutar\u00e1 sin verificaci\u00f3n.<\/p>\n

Seg\u00fan los investigadores, estas dos t\u00e9cnicas para eludir los controles de seguridad permiten la explotaci\u00f3n de otras vulnerabilidades espec\u00edficas. Los atacantes podr\u00edan usar estas vulnerabilidades para obtener acceso a los datos de los usuarios y a las funciones peligrosas del sistema operativo e, incluso, instalar aplicaciones (incluidas las del sistema). Es decir, las CVE-2023-23530 y CVE-2023-23531 pueden usarse para crear exploits de tipo FORCEDENTRY.<\/p>\n

Para demostrar las habilidades de las CVE-2023-23530 y CVE-2023-23531, los investigadores grabaron un v\u00eddeo en el que muestran c\u00f3mo hacer que una aplicaci\u00f3n maliciosa ejecute c\u00f3digo dentro de SpringBoard<\/a> (la aplicaci\u00f3n est\u00e1ndar que gestiona la pantalla de inicio en iOS) en un iPad. Por su parte, SpringBoard tiene privilegios elevados y m\u00faltiples derechos de acceso, incluidos la c\u00e1mara, el micr\u00f3fono, el historial de llamadas, las fotos y los datos de geolocalizaci\u00f3n; adem\u00e1s, puede borrar completamente el dispositivo.<\/p>\n

C\u00f3mo afecta esto a la seguridad de iOS y macOS<\/h2>\n

Debemos resaltar que los peligros planteados por las CVE-2023-23530 y CVE-2023-23531 son puramente te\u00f3ricos: no se han detectado casos registrados de explotaci\u00f3n en activo. Adem\u00e1s, las actualizaciones de iOS 16.3 y macOS Ventura 13.2 ya se han parcheado, por lo que, si las instalas a tiempo, supuestamente est\u00e9s a salvo.<\/p>\n

Dicho esto, no sabemos qu\u00e9 tal ha parcheado Apple las vulnerabilidades esta<\/em> vez; es probable que tambi\u00e9n se encuentren soluciones para estos parches. En cualquier caso, en una conversaci\u00f3n con Wired<\/em><\/a>, los propios investigadores se mostraron bastante convencidos de que seguir\u00e1n apareciendo nuevas vulnerabilidades de esta clase.<\/p>\n

Ten en cuenta que el simple hecho de poder ejecutar scripts en iOS usando NSPredicate no es suficiente para un ataque exitoso. El atacante a\u00fan sigue teniendo que acceder de alguna forma al dispositivo de la v\u00edctima para poder hacer algo con \u00e9l. En el caso de FORCEDENTRY, esto supuso el uso de otras vulnerabilidades<\/a>: un PDF infectado disfrazado de archivo GIF inocente que se col\u00f3 en el dispositivo objetivo a trav\u00e9s de iMessage.<\/p>\n

Hay una alta probabilidad de que estas vulnerabilidades se utilicen en ataques de APT<\/a>, por lo que vale la pena repetir las contramedidas que puedes tomar. Por tanto, aunque ya tenemos una publicaci\u00f3n en la que Costin Raiu, director de nuestro equipo global de an\u00e1lisis e investigaci\u00f3n (GReAT), explica detenidamente c\u00f3mo protegerte contra el malware del tipo Pegasus<\/a> y por qu\u00e9 funcionan estas medidas, te dejamos un resumen de sus consejos:<\/p>\n