Investigadores de Project Zero de Google revelaron que a comienzos de este año descubrieron una serie de sitios web comprometidos que estaban siendo utilizados como parte de un ataque de watering hole que explotaba una serie de vulnerabilidades, que no habían sido reportadas previamente (zero-day), en los dispositivos iPhone. Para aquellos que no están familiarizados con el término, watering hole hace referencia a un tipo de ataque en el cual el atacante compromete un sitio web –en este caso- a la espera de que los usuarios lo visiten y de esa manera se conviertan en víctimas.

“Solo visitar el sitio comprometido era suficiente para atacar el dispositivo, y en caso de ser exitoso el ataque, instalar un implante utilizado para monitorear ”, explica en un post Ian Beer, investigador de Project Zero. Según explicaron, creen que estos sitios fueron utilizados como parte de su campaña durante un período de al menos dos años y que recibían miles de visitas semanales.

Los investigadores descubrieron cinco cadenas de explotación que incluían exploits para 14 vulnerabilidades diferentes –siete en el navegador de Safari- y que afectaban a prácticamente todas las versiones de iOS que iban desde la 10 hasta la 12. Las cinco cadenas de explotación permitían al atacante obtener el máximo nivel de privilegios en un iPhone, pudiendo, entre otras cosas, instalar aplicaciones maliciosas para espiar en el equipo sin el consentimiento del usuario y de manera sigilosa.

El implante colocado permitía robar fotos, mensajes de iMessage, información sobre la ubicación por GPS en tiempo real, además de la posibilidad de acceder a contraseñas guardadas en el dispositivo.

El equipo de Google reportó estos fallos a Apple para que los resuelvan en un plazo de siete días, lo que derivó en el lanzamiento de la versión es 12.1.4 de iOS en febrero de este año.

Si bien esta campaña fue detectada y reportada, según Ian Beer, es probable que haya otras campañas activas que aún no fueron analizadas.

Por último, el investigador opina que muchos usuarios evalúan los riesgos de acuerdo a la percepción de la seguridad que tienen sobre el dispositivo, pero la realidad indica siempre habrá riesgos en la medida en que podamos ser un blanco elegido para un ataque, y eso puede ser determinado por una gran cantidad de factores de acuerdo a los intereses de los actores maliciosos. Por lo tanto, lo único que está al alcance de los usuarios es ser conscientes de que la posibilidad de ser víctima existe y que se tomen las precauciones correspondientes.