Google notificó la situación a Apple el día 1 de febrero y siete días después se publicó un parche a través de iOS 12.1.4. La lista de cambios emitida en su momento tan solo revelaba un problema de corrupción de memoria que podía ser utilizado para lanzar ataques de escalada de privilegios. Ahora Google ha decidido arrojar más luz sobre una campaña de características insólitas dentro del ecosistema iOS.
De acuerdo con los hallazgos del Grupo de Análisis de Amenazas de Google, un pequeño número de sitios web "con miles de visitas al mes" fue hackeado para introducir una serie de exploits 0-day. La mera visita al sitio era suficiente para lanzar un ataque al teléfono y, de tener éxito, instalar un implante.
En total Google habla de cinco cadenas de exploits para catorce vulnerabilidades de iOS: siete en el navegador Safari, cinco en el kérnel y dos relacionadas con estrategias para evitar el cajón de arena de Apple. Valiéndose de estas debilidades, lanzaban ataques de escalada de privilegios para poder acceder a "datos privados como iMessages, fotos y localizaciones GPS en tiempo real".
La disección del implante muestra que el comando "keychain" podía ser utilizado para enviar al atacante contraseñas y certificados almacenados en el contenedor seguro de iOS. "Device", por su parte, remitía el IMEI y el número de teléfono, mientras que "Notes" accedía a las notas del dispositivo y así sucesivamente con otros comandos.
La gravedad de las vulnerabilidades y las capacidades de los exploits diseñados para sacarles partido contrastan con algunos aspectos de la campaña más bien descuidados. El envío de la información extraída a los servidores de los atacantes se realizaba sin cifrado alguno, en texto plano, y el implante del teléfono móvil dejaba de funcionar con solo reiniciar el dispositivo (aunque en teoría, al poder acceder al Llavero no sería necesario mantener acceso permanente al iPhone para monitorizar los servicios del usuario).
Por ahora se desconoce el grupo responsable de estos ataques, pero Google señala que "realizó un esfuerzo continuado para hackear a los usuarios del iPhone en ciertas comunidades durante un periodo de al menos dos años". Actualmente todas las vulnerabilidades se encuentran debidamente parcheadas.