Una disputa legal entre dos empresas rusas de análisis forense de teléfonos ha revelado una debilidad y una posible vulnerabilidad en el sistema operativo iOS 16 de Apple.
La demanda, presentada por Elcomsoft, una empresa rusa fundada por el director ejecutivo Vladimir Katalov, alega que el competidor MKO-Systems ha robado un código que puede acceder profundamente a los iPhone de Apple con iOS 16 para obtener contraseñas ocultas, historial de navegación y ubicación, fotos y otros datos confidenciales. Para los clientes encargados de hacer cumplir la ley de Elcomsoft, estas herramientas son increíblemente útiles para extraer más datos de un iPhone desbloqueado de lo que es posible con una revisión manual del teléfono y sus copias de seguridad.
Este tipo de herramienta forense necesitaría explotar las debilidades de iOS si quieren adquirir datos tan confidenciales. Según el experto en seguridad Bruce Schneier, podría utilizar una falla sin parchear, conocida como «día cero», o una cadena de vulnerabilidades en iOS 16. Jake Williams, ex miembro del personal de la NSA y ahora miembro del cuerpo docente de la firma de analistas de ciberseguridad IANS Research, dijo que era más probable que los piratas informáticos hubieran «realizado ingeniería inversa en algunas estructuras de datos o algoritmos de ofuscación que nadie más ha hecho». No está claro si iOS 17, lanzado por Apple en septiembre, se ve afectado.
«No hay duda de que Rusia está realizando análisis forenses en dispositivos móviles capturados de objetivos de alto valor en Ucrania». Jake Williams, miembro del cuerpo docente de la firma de analistas de ciberseguridad IANS Research
Katalov se negó a comentar sobre la naturaleza de las vulnerabilidades que explotó su software. Apple no respondió a múltiples solicitudes de comentarios. MKO no respondió a una solicitud de comentarios.
Aunque Elcomsoft solo ha emprendido acciones legales contra MKO, la demanda también alega que el mismo código robado se utiliza en un producto de su rival estadounidense, Oxygen Forensics, que fue fundado por dos empresarios rusos que también ayudaron a crear MKO: Oleg Fedorov y Oleg Davydov (la empresa no respondió a una solicitud de comentarios).
Si las afirmaciones de Elcomsoft son precisas, el código de piratería de iOS está ahora en manos de las autoridades rusas y estadounidenses. Los registros de contratación gubernamental muestran que las herramientas de Elcomsoft han sido utilizadas por el FBI y la Oficina de Aduanas y Protección Fronteriza, mientras que Katalov dijo a Forbes que lo ha vendido al FSB, el organismo de inteligencia policial de Moscú. Oxygen tiene numerosos contratos con agencias federales en todo Estados Unidos, incluido el FBI, el Servicio de Inmigración y Control de Aduanas (ICE) y la Oficina de Aduanas y Protección Fronteriza (CBP). La tecnología MKO se vendió al FSB y al Ministerio del Interior, según el sitio web de uno de sus socios, que revende el software MKO.
Eso significa que innumerables agencias gubernamentales, tanto en Estados Unidos como en Rusia, pueden obtener acceso profundo a iPhones desbloqueados que ejecutan el sistema operativo, ya sea que pertenezcan a un terrorista, un delincuente callejero, un ciudadano indocumentado o un manifestante.
Que el gobierno ruso tenga acceso a herramientas que pueden romper las protecciones de iOS 16 podría presentar preocupaciones particulares a la luz de la guerra en Ucrania. «No hay duda de que Rusia está realizando análisis forenses en dispositivos móviles capturados de objetivos de alto valor en Ucrania», dijo Williams. «La inteligencia y la defensa rusas pueden aprovechar las herramientas adquiridas por las fuerzas del orden rusas, que probablemente incluyen la mayoría de las herramientas forenses móviles del mercado actual».
En la demanda, que se presentó ante un tribunal de arbitraje de Moscú a finales de noviembre, Elcomsoft alega que MKO-Systems robó su código patentado de piratería iOS y lo incluyó en su propio producto forense «casi sin cambios». Antes de presentar la demanda, Elcomsoft exigió que MKO dejara de vender licencias de software que contenía el código y que pagara una compensación de 5.000.000 de rublos (56.000 dólares). En respuesta a la demanda, los abogados de MKO negaron que hubiera habido algún tipo de robo de propiedad intelectual. MKO aún no ha respondido a la demanda y no respondió a una solicitud de comentarios al momento de la publicación.
Elcomsoft no está demandando a Oxygen, a pesar de nombrarlo en la demanda. Pero las acusaciones han puesto de relieve las conexiones de esa empresa con Rusia, notables a la luz de los contratos de Oxygen con el FBI, ICE y CPB.
“Es difícil evaluar si Oxygen representa hoy una preocupación directa de seguridad nacional basándose en sus antiguos vínculos con Rusia. Sin embargo, esa evaluación parece peor ahora que antes dadas las acusaciones de robo de código por parte de Elcomsoft”, dijo Williams. «Las organizaciones que utilizan oxígeno deben evaluar su perfil de riesgo… después de evaluar los reclamos de la demanda».
En los últimos años, Oxygen ha buscado distanciarse de sus orígenes moscovitas. Registró su negocio en Virginia en 2013. Pero, según un informe de Forbes de 2017, su software continuó desarrollándose en Rusia antes de ser enviado al cofundador y director ejecutivo de Oxygen en Estados Unidos en ese momento, Oleg Fedorov, le dijo a Forbes entonces que quería mantenerse alejado de las cuestiones geopolíticas.
Desde entonces, Fedorov y su socio comercial Davydov se han distanciado aún más de Oxygen y MKO, y ya no ocupan ningún cargo ni título en ninguno de los dos. Oxygen ahora está dirigido por Lee Reiber, un ex investigador del Departamento de Policía de Boise. La directora general de MKO, que hasta mediados de 2022 se llamaba Oxygen Software (aunque todavía estaba separada de la estadounidense Oxygen), figura como Gutman Olga Vasilevna, quien, según su perfil de LinkedIn, anteriormente era directora de marketing de la empresa.
Sin embargo, Forbes encontró al menos una conexión restante entre Oxygen y Rusia. Tiene una entidad registrada en Chipre, Oxygen Forensics Limited, cuyo director figura como Maksim Vialkov, un ruso que ha registrado varios sitios web centrados en ciencia forense utilizando su número de teléfono ruso. Fue director del negocio estadounidense de Oxygen que figuraba en la lista hasta febrero de este año, cuando fue eliminado de sus libros corporativos. Ni Oxygen ni MKO respondieron a las preguntas sobre si quedaban vínculos entre las dos empresas.
Según un informe reciente del Consorcio Internacional de Periodistas de Investigación, Chipre se ha convertido en un centro para empresas especializadas en piratear teléfonos en nombre de los gobiernos, en gran parte debido a su falta de supervisión de las tecnologías de software espía.