En un giro inesperado, Ian Beer, investigador de seguridad de Google Project Zero, se ha hecho un hueco en las redes sociales esta semana para compartir su análisis a fondo sobre el exploit BLASTPASS, que permite vulnerar iMessage sin necesidad de que la víctima haga clic en nada. Esta amenaza había estado acechando a los usuarios hasta que Apple lanzó una solución con iOS y iPadOS 16.6.1 el 7 de septiembre de 2023.
La alarma se encendió cuando se supo lo fácil que era para un atacante activar este exploit. Imagínate: tu iPhone o iPad, con la última actualización instalada, podría ser comprometido solo por recibir un mensaje con un archivo PassKit malicioso. Una locura total.
Un análisis revelador
El blog de Beer no solo explica cómo funcionaba el ataque, sino que también nos sumerge en su proceso mental mientras intentaba desentrañarlo. Es una lectura cautivadora, especialmente si te interesa la ciberseguridad. En sus palabras, aunque BLASTPASS comparte ciertas similitudes con otro ataque famoso llamado FORCEDENTRY —también utilizado por el grupo NSO— ambos funcionan de maneras diferentes.
Lecciones aprendidas y retos futuros
Beer concluye diciendo que esta es la segunda vez que un exploit del NSO depende simplemente de renombrar una extensión de archivo para acceder a un parser en un contexto inesperado: FORCEDENTRY utilizó .gif disfrazado como .pdf y BLASTPASS, .png como .webp. Este principio básico sobre la seguridad resalta lo importante que es tratar todos los datos controlados por atacantes como no confiables.
A pesar de que este exploit ya ha sido parcheado por Apple, no podemos bajar la guardia. La realidad es que ataques similares pueden surgir mientras la ciencia del sandboxing siga siendo imperfecta; simplemente se trata de retrasar los problemas más que eliminarlos por completo. Al final del día, esto refleja la eterna batalla entre fabricantes y hackers.
¿Crees que veremos otro ataque similar al BLASTPASS o FORCEDENTRY? Nos encantaría saber tu opinión en los comentarios.
