Recientemente un grupo de investigadores de Citizen Lab de la Universidad Munk School de Toronto publicaron un nuevo informe explicando cómo fue posible una explotación con un cero clic y quien fue su objetivo.
QuaDream, es el nombre de la compañía que se encarga de vender el software el espía (spyware, en inglés). Se dice que esta podría estar trabajando en conjunto con la empresa NSO Group, la compañía israelí conocida por su popular spyware Pegasus. Por su parte, Apple ha decidido demandar a NSO Group por “abusar y dañar” a sus usuarios.
Para nadie es un secreto que esta empresa se encarga de vender este tipo de software y algunos de sus clientes son gobiernos que están dispuestos a explotar la seguridad de iPhone y Android aprovechando las brechas de seguridad que carecen los dispositivos.
QuaDream, responsable del exploit zero-click de iOS 14, es similar a NSO Group, pero mantiene una presencia pública mucho menor. En palabras de Citizen Lab, QuaDream no tiene una gran presencia en los medios de comunicación, ni tampoco un sitio web o cuentas en redes sociales.
Sin embargo, QuaDream tiene sus propios problemas legales. La empresa mantiene una disputa legal con una firma con sede en Chipre llamada InReach. La batalla judicial ha sacado a la luz información sobre QuaDream que antes no era pública.
En el informe, Citizen Lab describe a personas clave relacionadas con cada empresa. Entre ellas figuran un antiguo oficial militar israelí, Ian Dabelstein y un empresario israelí afincado en California, Roy Galsberg Keller.
Aunque el exploit en sí no es nuevo, la empresa que está detrás de él sigue vendiendo software espía a clientes dispuestos a pagar.
ENDOFDAYS, como Citizen Lab llama al exploit de iOS 14, utilizaba en el pasado invitaciones invisibles a eventos del calendario para esconder eventos.
"Los eventos de calendario maliciosos tienen características distintivas adicionales que parecen ser siempre las mismas", afirma Citizen Lab. "El archivo .ics contiene invitaciones a dos eventos que se solapan y que tienen fecha anterior. En iOS 14, cualquier invitación al calendario de iCloud con una fecha anterior recibida por el teléfono se procesa automáticamente y se añade al calendario del usuario sin que éste reciba ningún aviso o notificación. No estamos seguros de por qué se solapan los eventos, aunque puede haber un comportamiento específico desencadenado por eventos solapados."