Un exploit de iOS llamado Insomnia se utilizó entre enero y marzo de 2020 para espiar a los uigures en China.
Conclusiones clave
El insomnio afecta a iOS 12.3, iOS 12.3.1 e iOS 12.3.2. Apple lo parcheó en iOS 12.4. Fue utilizado por múltiples entidades chinas, sobre todo la entidad de piratería conocida como ‘Evil Eye’.
Detalles
Usando una cadena de exploits, Evil Eye usó un marco de código abierto llamado IRONSQUIRREL para usar una vulnerabilidad en WebKit que fue parcheada en 2019. Si este ataque inicial tiene éxito, el grupo instala el malware llamado Insomnia.
En la primera ronda de ataques, se dirigió a los visitantes del sitio web de la Academia Uigur. Otro sitio web fue el Uyghur Times. Solo se apuntaron ciertos agentes de usuario, es decir, si se detectaba que un visitante del sitio web usaba un dispositivo Apple, como este:
Mozilla / 5.0 (iPhone; CPU iPhone OS 12_3_1 como Mac OS X) AppleWebKit / 605.1.15 (KHTML, como Gecko) Versión / 12.1.1 EdgiOS / 44.5.0.10 Mobile / 15E148 Safari / 604.1
Mozilla / 5.0 (iPad; 12_3_1 como Mac OS X) AppleWebKit / 605.1.15 (KHTML, como Gecko) Versión / 12.0 EdgiOS / 44.5.2 Mobile / 15E148 Safari / 605.1.15CPU OS 1
Dado que todos los navegadores en iOS deben usar el motor WebKit de Apple, no era específico para los usuarios de Safari. Safari, Google Chrome y Microsoft Edge fueron todos receptores exitosos del exploit.
El malware tenía una lista de aplicaciones de las que robaría datos si se encontraban instaladas en los dispositivos de las víctimas. Dos adiciones recientes a la lista son Signal, una aplicación de mensajería privada, y ProtonMail, un servicio de correo electrónico privado. Ambos usan cifrado de extremo a extremo, y es probable que China se haya dirigido a los uigures que usan estas aplicaciones para ocultar sus comunicaciones.
Se pueden encontrar más detalles en el informe de Volexity.
Otras lecturas
[iPhone Zero Day Found, Will Be Patched in iOS 13]
[‘Cosmic Frontier: Override’ is a Remake of 1998 Game ‘Escape Velocity’]
