Una disputa legal entre dos empresas rusas de análisis forense de teléfonos reveló una debilidad y una posible vulnerabilidad de “día cero” en el sistema operativo iOS 16 de Apple.
La demanda, presentada por Elcomsoft, una empresa rusa fundada por el CEO Vladimir Katalov, alega que el competidor MKO-Systems robó un código que puede acceder profundamente a los iPhone de Apple con iOS 16 para obtener contraseñas ocultas, historial de navegación y ubicación, fotos y otros datos confidenciales. Para los clientes encargados de hacer cumplir la ley de Elcomsoft, estas herramientas son increíblemente útiles para extraer más datos de un iPhone desbloqueado de lo que es posible con una revisión manual del teléfono y sus copias de seguridad.
Este tipo de herramienta forense necesitaría explotar las debilidades de iOS si quieren adquirir datos tan confidenciales. Según el experto en seguridad Bruce Schneier, podría utilizar una falla sin parchar, conocida como día cero, o una cadena de vulnerabilidades en iOS 16. Jake Williams, exmiembro del personal de la NSA y ahora miembro del cuerpo docente de la firma de analistas de ciberseguridad IANS Research, dijo que era más probable que los hackers hubieran realizado “ingeniería inversa en algunas estructuras de datos o algoritmos de ofuscación que nadie más ha hecho”. No está claro si iOS 17, lanzado por Apple en septiembre, se ve afectado.
“No hay duda de que Rusia está realizando análisis forenses en dispositivos móviles capturados de objetivos de alto valor en Ucrania”.
Katalov se negó a comentar la naturaleza de las vulnerabilidades que explotó su software. Apple no respondió a múltiples solicitudes de comentarios. MKO tampoco respondió a una solicitud de comentarios.
Aunque Elcomsoft sólo ha emprendido acciones legales contra MKO, la demanda también alega que el mismo código robado se utiliza en un producto forense para iPhone de su rival estadounidense Oxygen Forensics, que fue fundado por dos empresarios rusos que también ayudaron a crear MKO: Oleg Fedorov y Oleg Davydov (la empresa no respondió a una solicitud de comentarios).
Si las afirmaciones de Elcomsoft son precisas, el código de piratería de iOS está ahora en manos de las autoridades rusas y estadounidenses. Los registros de contratación gubernamental muestran que las herramientas de Elcomsoft han sido utilizadas por el FBI y la Oficina de Aduanas y Protección Fronteriza, mientras que Katalov dijo a Forbes que uno de sus clientes es el FSB, el organismo de inteligencia policial de Moscú.
Oxygen, a su vez, tiene numerosos contratos con agencias federales en todo Estados Unidos, incluido el FBI, el Servicio de Inmigración y Control de Aduanas (ICE) y la Oficina de Aduanas y Protección Fronteriza (CBP). En tanto, la tecnología MKO se ha vendido al FSB y al Ministerio del Interior de Rusia, según el sitio web de uno de sus socios, que revende el software MKO.
Eso significa que innumerables agencias gubernamentales tanto en Estados Unidos como en Rusia pueden obtener acceso profundo a iPhones desbloqueados que ejecutan el sistema operativo, ya sea que pertenezcan a un terrorista, un delincuente callejero, un ciudadano indocumentado o un manifestante.
Que el gobierno ruso tenga acceso a herramientas que pueden romper las protecciones de iOS 16 podría presentar preocupaciones particulares a la luz de la guerra en Ucrania. “No hay duda de que Rusia está realizando análisis forenses en dispositivos móviles capturados de objetivos de alto valor en Ucrania”, dijo Williams. “La inteligencia y la defensa rusas pueden aprovechar las herramientas adquiridas por las fuerzas del orden rusas, que probablemente incluyen la mayoría de las herramientas forenses móviles del mercado actual”.
En la demanda, la cual se presentó ante un tribunal de arbitraje de Moscú a finales de noviembre, Elcomsoft alega que MKO-Systems robó su código patentado de piratería para iOS y lo incluyó en su propio producto forense “casi sin cambios”. Antes de presentar la demanda, Elcomsoft exigió que MKO dejara de vender licencias de software que contenían el código y que pagara una compensación de 5 millones de rublos (56,000 dólares). En respuesta a la demanda, los abogados de MKO negaron que hubiera habido algún tipo de robo de propiedad intelectual. MKO aún no ha respondido a la demanda y no respondió a una solicitud de comentarios al momento de la publicación.
Elcomsoft no ha demandado a Oxygen, a pesar de nombrarlo en la demanda. Pero las acusaciones han puesto de relieve las conexiones de esa empresa con Rusia, notables a la luz de los contratos de Oxygen con el FBI, ICE y CPB.
“Es difícil evaluar si Oxygen representa hoy una preocupación directa de seguridad nacional basándose en sus antiguos vínculos con Rusia. Sin embargo, esa evaluación parece peor ahora que antes dadas las acusaciones de robo de código por parte de Elcomsoft”, dijo Williams. “Las organizaciones que utilizan oxígeno deben evaluar su perfil de riesgo (…) después de evaluar los reclamos de la demanda”.
En los últimos años, Oxygen ha buscado distanciarse de sus orígenes moscovitas. Registró su negocio en Virginia en 2013. Pero, según un informe de Forbes de 2017, su software continuó desarrollándose en Rusia antes de ser enviado al cofundador y CEO de Oxygen en Estados Unidos en ese momento, Oleg Fedorov, quien le dijo a Forbes entonces que quería mantenerse alejado de las cuestiones geopolíticas.
Desde entonces, Fedorov y su socio comercial Davydov se han distanciado aún más de Oxygen y MKO, y ya no ocupan ningún cargo ni título en ninguno de los dos. Oxygen ahora está dirigido por Lee Reiber, un exinvestigador del Departamento de Policía de Boise, Idaho. La directora general de MKO, firma que hasta mediados de 2022 se llamaba Oxygen Software (aunque estaba separada de la estadounidense Oxygen), es mencionada como Gutman Olga Vasilevna, quien, según su perfil de LinkedIn, anteriormente era directora de marketing de la empresa.
Sin embargo, Forbes encontró al menos una conexión restante entre Oxygen y Rusia. Tiene una entidad registrada en Chipre, Oxygen Forensics Limited, cuyo director es como Maksim Vialkov, un ruso que ha registrado varios sitios web centrados en ciencia forense utilizando su número de teléfono ruso. Figuraba como director del negocio estadounidense de Oxygen hasta febrero de este año, cuando fue eliminado de su directorio. Ni Oxygen ni MKO respondieron a las preguntas sobre si quedaban vínculos entre las dos empresas.
Según un informe reciente del Consorcio Internacional de Periodistas de Investigación, Chipre se ha convertido en un centro para empresas especializadas en hackear teléfonos a nombre de los gobiernos, en gran parte debido a su falta de supervisión de las tecnologías de software espía.
