Apple ha lanzado actualizaciones de seguridad de emergencia para abordar la vulnerabilidad crítica CVE-2025-24200, explotada en ataques dirigidos altamente sofisticados. Esta vulnerabilidad permite a atacantes con acceso físico a un iPhone o iPad bloqueado eludir el Modo Restringido USB, diseñado para evitar accesos no autorizados a través de conexiones USB.
Detalles Técnicos
La CVE-2025-24200 tiene una puntuación CVSS de 9.8, lo que refleja su severidad crítica al afectar el sistema de autorización del dispositivo. El vector de ataque requiere acceso físico al dispositivo, uso de accesorios MFi certificados y manipulación del sistema de gestión de estados USB. La vulnerabilidad explota una falla en la gestión de memoria del subsistema USB, permitiendo ejecutar comandos sin autenticación y aprovechando una debilidad en el controlador Lightning.
Impacto y Alcance
La explotación permite desactivar el Modo Restringido USB sin desbloqueo, eludir la restricción de una hora y acceder a datos sensibles como mensajes, registros de llamadas, contenido multimedia, claves de autenticación, tokens de apps y datos cifrados almacenados en el sistema de archivos APFS.
Dispositivos Afectados
Afecta a dispositivos con iOS 17.x e iOS 18.x, incluyendo:
- iPhone XS, XR, 11, 12, 13, 14 y 15 (todas las variantes)
- iPad Pro 12.9” (2ª, 3ª, 4ª, 5ª y 6ª gen.)
- iPad Pro 11” (1ª, 2ª, 3ª y 4ª gen.)
- iPad Air (3ª, 4ª y 5ª gen.)
- iPad mini (5ª y 6ª gen.)
- iPad (6ª, 7ª, 8ª, 9ª y 10ª gen.)
Mitigación
Apple ha lanzado parches en iOS 18.3.1, iOS 17.7.5 e iPadOS 17.7.5, mejorando la gestión de estados, introduciendo restricciones adicionales para dispositivos MFi y reforzando las políticas de autenticación USB.
Contexto de Seguridad
Citizen Lab, conocido por descubrir ataques de spyware como Pegasus, señaló que esta vulnerabilidad podría estar vinculada a empresas de vigilancia comercial. Expertos indican que el exploit muestra similitudes con ataques de GrayKey y BlackBag. La comunidad de ciberseguridad destaca que estas amenazas evolucionan rápidamente, instando a revisar configuraciones, desactivar accesos no esenciales y usar MFA.
Análisis Adicional
El exploit CVE-2025-24200 destaca cómo los atacantes combinan ingeniería inversa, manipulación de firmware y técnicas de fuerza bruta asistida por hardware. Este ataque resalta la importancia de proteger el hardware tanto como el software y de anticipar futuras amenazas con medidas de seguridad holísticas. Actualizar dispositivos es crucial, pero también lo es educar a los usuarios y fortalecer políticas de seguridad en entornos corporativos y gubernamentales.
