El domingo, el director ejecutivo de NSO, Shalev Hulio, le dijo a The Post que estaba molesto por los informes de la investigación de que los teléfonos pertenecientes a periodistas, activistas de derechos humanos y funcionarios públicos habían sido atacados con el software de su empresa, a pesar de que disputó otras acusaciones informadas por The Post y sus organizaciones de noticias asociadas. Prometió una investigación. “Cada acusación sobre el uso indebido del sistema me preocupa”, dijo Hulio. «Viola la confianza que le estamos dando al cliente».

Apple no es la única que se enfrenta a posibles intrusiones. El otro objetivo importante de Pegasus es el sistema operativo Android de Google, que alimenta los teléfonos inteligentes de Samsung, LG y otros fabricantes.

La portavoz de Google, Kaylin Trychon, dijo que Google tiene un equipo de análisis de amenazas que rastrea NSO Group y otros actores de amenazas y que la compañía envió más de 4,000 advertencias a los usuarios cada mes de intentos de infiltración por parte de atacantes, incluidos los respaldados por el gobierno.

Dijo que la falta de registros que ayuden a los investigadores a determinar si un dispositivo Android ha sido atacado también fue una decisión de seguridad.

“Si bien entendemos que los registros persistentes serían más útiles para usos forenses como los descritos por los investigadores de Amnistía Internacional, también serían útiles para los atacantes. Continuamente equilibramos estas diferentes necesidades ”, dijo.

Los defensores dicen que la incapacidad de prevenir la piratería de teléfonos inteligentes amenaza la democracia en decenas de países al socavar la recopilación de noticias, la actividad política y las campañas contra los abusos de los derechos humanos. La mayoría de las naciones tienen poca o ninguna regulación efectiva de la industria del software espía o de cómo se utilizan sus herramientas.

«Si no los estamos protegiendo y no les proporcionamos herramientas para hacer este trabajo peligroso, entonces nuestras sociedades no van a mejorar», dijo Adrian Shahbaz, director de tecnología y democracia de Freedom House, un promotor con sede en Washington. think tank sobre democracia. «Si todo el mundo tiene miedo de enfrentarse a los poderosos porque temen las consecuencias, sería desastroso para el estado de la democracia».

Apple promociona la seguridad como una característica importante de sus productos, pero los informes de ataques a iPhones han aumentado en los últimos años a medida que los investigadores de seguridad han encontrado evidencia de que los atacantes descubrieron vulnerabilidades en aplicaciones de iPhone ampliamente utilizadas, particularmente iMessage. (Antonio Masiello / Getty Images)

Hatice Cengiz, la prometida del columnista colaborador del Washington Post asesinado Jamal Khashoggi, dijo que usó un iPhone porque pensó que ofrecería una protección sólida contra los piratas informáticos.

«¿Por qué dijeron que el iPhone es más seguro?» Cengiz dijo en una entrevista de junio en Turquía, donde vive. Su iPhone se encontraba entre los 23 que tenían evidencia forense de una intrusión exitosa de Pegasus. La infiltración ocurrió en los días posteriores a la muerte de Khashoggi en octubre de 2018, según encontró el examen de su teléfono.

NSO dijo en un comunicado que no había encontrado evidencia de que el teléfono de Cengiz hubiera sido atacado por Pegasus. «Nuestra tecnología no se asoció de ninguna manera con el atroz asesinato de Jamal Khashoggi», dijo la compañía.

No es posible realizar una comparación directa de la seguridad de los sistemas operativos de Apple y Google y los dispositivos que los ejecutan, pero los informes de hackeos a iPhones han aumentado en los últimos años a medida que los investigadores de seguridad han descubierto evidencia de que los atacantes han encontrado vulnerabilidades en tales sistemas. aplicaciones de iPhone ampliamente utilizadas como iMessage, Apple Music, Apple Photos, FaceTime y el navegador Safari.

La investigación encontró que iMessage, la aplicación de mensajería incorporada que permite chatear sin problemas entre los usuarios de iPhone, jugó un papel en 13 de las 23 infiltraciones exitosas de iPhones. IMessage también fue el modo de ataque en seis de los 11 intentos fallidos del Laboratorio de Seguridad de Amnistía identificados a través de sus exámenes forenses.

Una razón por la que iMessage se ha convertido en un vector de ataque, dicen los investigadores de seguridad, es que la aplicación ha agregado características gradualmente, lo que inevitablemente crea más vulnerabilidades potenciales.

“No pueden hacer que iMessage sea seguro”, dijo Matthew Green, profesor de seguridad y criptología en la Universidad Johns Hopkins. «No estoy diciendo que no se pueda arreglar, pero es bastante malo».

Un tema clave: IMessage permite a extraños enviar mensajes a los usuarios de iPhone sin ninguna advertencia o aprobación del destinatario, una función que facilita a los piratas informáticos dar los primeros pasos hacia la infección sin ser detectados. Los investigadores de seguridad han advertido sobre esta debilidad durante años.

«Tu iPhone, y mil millones de otros dispositivos Apple listos para usar, ejecutan automáticamente un famoso software inseguro para obtener una vista previa de iMessages, ya sea que confíes en el remitente o no», dijo el investigador de seguridad Bill Marczak, miembro de Citizen Lab, una investigación instituto con sede en la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto. «Cualquier estudiante de Computer Security 101 podría detectar la falla aquí».

Project Zero de Google, que busca errores explotables en una variedad de ofertas de tecnología y publica sus hallazgos públicamente, informó en una serie de publicaciones de blog el año pasado sobre las vulnerabilidades de iMessage.

La aplicación de chat encriptada Signal adoptó nuevas protecciones el año pasado que requieren la aprobación del usuario cuando un usuario desconocido intenta iniciar una llamada o mensaje de texto, una protección que Apple no ha implementado con iMessage. Los usuarios de iPhones pueden optar por filtrar a los usuarios desconocidos activando una función en la configuración de sus dispositivos, aunque la investigación durante muchos años ha demostrado que los usuarios normales de dispositivos o aplicaciones rara vez aprovechan estos controles granulares.

En un correo electrónico de 2.800 palabras que respondió a preguntas de The Post que Apple dijo que no se podían citar directamente, la compañía dijo que los iPhones restringen severamente el código que un iMessage puede ejecutar en un dispositivo y que tiene protecciones contra el malware que llega de esta manera. Dijo que BlastDoor examina las vistas previas web y las fotos en busca de contenido sospechoso antes de que los usuarios puedan verlas, pero no dio más detalles sobre ese proceso. No respondió a una pregunta sobre si consideraría restringir los mensajes de remitentes que no estén en la libreta de direcciones de una persona.

El análisis técnico de Amnistía también encontró evidencia de que los clientes de NSO utilizan empresas comerciales de servicios de Internet, incluido Amazon Web Services, para entregar el malware Pegasus a los teléfonos específicos. (El presidente ejecutivo de Amazon, Jeff Bezos, es dueño de The Post).

Kristin Brown, portavoz de Amazon Web Services, dijo: «Cuando nos enteramos de esta actividad, actuamos rápidamente para cerrar la infraestructura y las cuentas relevantes».

Lecciones duras

En el costado del ayuntamiento de Ivry-sur-Seine, Francia, en 2018, se exhibe un póster con fotos de Mangin y Asfari en apoyo de su llamado a la liberación de su esposo en Marruecos (Elise Hardy / Gamma-Rapho / Getty Images).

La infiltración de los iPhones de Mangin subraya lecciones difíciles sobre la privacidad en la era de los teléfonos inteligentes: nada que se guarde en ningún dispositivo es completamente seguro. Gastar más en un teléfono inteligente premium no cambia ese hecho, especialmente si las agencias de inteligencia o de aplicación de la ley de alguna nación quieren ingresar. NSO informó el mes pasado que tiene 60 clientes gubernamentales en 40 países, lo que significa que algunas naciones tienen más de una agencia con un contrato.

Las nuevas medidas de seguridad a menudo exigen costos para los consumidores en términos de facilidad de uso, velocidad de las aplicaciones y duración de la batería, lo que genera luchas internas en muchas empresas de tecnología sobre si tales compensaciones en el rendimiento valen la mejor resistencia a la piratería que brindan tales medidas.

Un ex empleado de Apple, que habló bajo condición de anonimato porque Apple requiere que sus empleados firmen acuerdos que les prohíban comentar sobre casi todos los aspectos de la empresa, incluso después de que se vayan, dijo que era difícil comunicarse con los investigadores de seguridad que informaron errores en Productos de Apple porque el departamento de marketing de la empresa se interpuso.

“El marketing podría vetar todo”, dijo la persona. “Teníamos un montón de respuestas enlatadas que usaríamos una y otra vez. Fue increíblemente molesto y ralentizó todo «.

Apple también restringe el acceso que tienen los investigadores externos a iOS, el sistema operativo móvil utilizado por los iPhones y iPads, de una manera que dificulta la investigación del código y limita la capacidad de los consumidores para descubrir cuándo han sido pirateados, dicen los investigadores.

En su respuesta por correo electrónico a las preguntas de The Post, Apple dijo que su equipo de marketing de productos tiene voz solo en algunas interacciones entre los empleados de Apple e investigadores de seguridad externos y solo para garantizar que los mensajes de la compañía sobre los nuevos productos sean consistentes. Dijo que está comprometido a brindar herramientas a investigadores de seguridad externos y promocionó su Programa de Dispositivos de Investigación de Seguridad, en el que la compañía vende iPhones con software especial que los investigadores pueden usar para analizar iOS.

Los críticos, tanto dentro como fuera de la empresa, dicen que Apple también debería centrarse más en rastrear el trabajo de sus adversarios más sofisticados, incluido NSO, para comprender mejor los exploits de vanguardia que están desarrollando los atacantes. Estos críticos dicen que el equipo de seguridad de la empresa tiende a centrarse más en la seguridad general, al implementar funciones que frustran la mayoría de los ataques, pero que pueden no detener los ataques a personas sujetas a la vigilancia del gobierno, un grupo que a menudo incluye periodistas, políticos y activistas de derechos humanos como Mangin. .

«Cuando estaba en Marruecos, sabía que los policías me seguían a todas partes», dijo Mangin en una entrevista este mes sobre la piratería de su iPhone. «Nunca imaginé que esto pudiera ser posible en Francia». (Foto de Guillaume Herbaut / Agence VU para The Washington Post)

“Es una situación en la que siempre estás trabajando con un déficit de información. No sabes mucho sobre lo que hay ahí fuera ”, dijo un ex ingeniero de Apple, hablando bajo condición de anonimato porque Apple no permite que los ex empleados hablen públicamente sin el permiso de la empresa. «Cuando tienes un adversario con buenos recursos, hay cosas diferentes sobre la mesa».

En su correo electrónico a The Post, Apple dijo que en los últimos años ha expandido significativamente su equipo de seguridad enfocado en rastrear adversarios sofisticados. Apple dijo en el correo electrónico que se diferencia de sus competidores en que elige no discutir estos esfuerzos públicamente, sino que se centra en crear nuevas protecciones para su software. En general, su equipo de seguridad se ha cuadruplicado en los últimos cinco años, dijo Apple.

El modelo de negocio de Apple se basa en el lanzamiento anual de nuevos iPhones, su producto estrella que genera la mitad de sus ingresos. Cada nuevo dispositivo, que normalmente llega con un sistema operativo actualizado disponible para los usuarios de dispositivos más antiguos, incluye muchas funciones nuevas, junto con lo que los investigadores de seguridad denominan nuevas «superficies de ataque».

Los empleados actuales y anteriores de Apple y las personas que trabajan con la compañía dicen que el calendario de lanzamiento del producto es desgarrador y, debido a que hay poco tiempo para examinar los nuevos productos en busca de fallas de seguridad, conduce a una proliferación de nuevos errores que los investigadores de seguridad ofensivos en compañías como NSO Group puede utilizar para acceder incluso a los dispositivos más nuevos.

En su correo electrónico a The Post, Apple dijo que utiliza herramientas automatizadas e investigadores internos para detectar la gran mayoría de errores antes de que se publiquen y que es el mejor de la industria.

Apple también llegó relativamente tarde a las «recompensas por errores», en las que las empresas pagan a investigadores independientes por encontrar y revelar fallas de software que los piratas informáticos podrían utilizar en ataques.

Krstić, el principal funcionario de seguridad de Apple, presionó por un programa de recompensas por errores que se agregó en 2016, pero algunos investigadores independientes dicen que han dejado de enviar errores a través del programa porque Apple tiende a pagar pequeñas recompensas y el proceso puede llevar meses o años.

La semana pasada, Nicolas Brunner, un ingeniero de iOS de Swiss Federal Railways, detalló en una publicación de blog cómo envió un error a Apple que permitía a alguien rastrear permanentemente la ubicación de un usuario de iPhone sin su conocimiento. Dijo que Apple no se comunicaba, tardaba en corregir el error y, en última instancia, no le pagaba.

Cuando se le preguntó sobre la publicación del blog, un portavoz de Apple se refirió al correo electrónico de Apple en el que decía que su programa de recompensas por errores es el mejor de la industria y que paga recompensas más altas que cualquier otra empresa. Solo en 2021, ha pagado millones de dólares a investigadores de seguridad, decía el correo electrónico.

Personas familiarizadas con las operaciones de seguridad de Apple dicen que Krstić ha mejorado la situación, pero el equipo de seguridad de Apple sigue siendo conocido por mantener un perfil público bajo, negándose a hacer presentaciones en conferencias como la conferencia de ciberseguridad Black Hat en Las Vegas, donde cada verano, otros técnicos las empresas se han convertido en elementos fijos.

Una vez que se informa de un error a Apple, se le asigna un código de color, dijeron ex empleados familiarizados con el proceso. Rojo significa que los atacantes están explotando activamente el error. Naranja, el siguiente nivel hacia abajo, significa que el error es grave pero que aún no hay evidencia de que haya sido explotado. Los errores naranjas pueden tardar meses en solucionarse, y el equipo de ingeniería, no el de seguridad, decide cuándo sucede.

Los ex empleados de Apple relataron varios casos en los que errores que no se creían serios fueron explotados contra los clientes entre el momento en que se informaron a Apple y el momento en que se corrigieron.

Apple dijo en su correo electrónico que ningún sistema es perfecto, pero que corrige rápidamente graves vulnerabilidades de seguridad y continúa invirtiendo en mejorar su sistema para evaluar la gravedad de los errores.

Pero los investigadores de seguridad externos dicen que no pueden estar seguros de cuántos usuarios de iOS son explotados porque Apple dificulta que los investigadores analicen la información que apuntaría a explotaciones.

«Creo que estamos viendo la punta del iceberg en este momento», dijo Costin Raiu, director del equipo global de investigación y análisis de la firma de ciberseguridad Kaspersky Lab. “Si lo abres y le das a la gente las herramientas y la capacidad de inspeccionar teléfonos, tienes que estar preparado para el ciclo de noticias, que será en su mayoría negativo. Se necesita coraje «.

El Proyecto Pegasus es una investigación colaborativa que involucra a más de 80 periodistas de 17 organizaciones de noticias coordinadas por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional.