NOVIDADES

Blog, Destaques

13 fev: Apple atualiza iOS para eliminar falha que teria sido explorada por hackers

A Apple lançou uma atualização para iOS, o sistema operacional de dispositivos portáteis como iPhone e o iPad, para corrigir quatro falhas de segurança. De acordo com um tuite de Ben Hawkes, que chefia uma equipe de segurança dentro do Google, duas dessas falhas foram exploradas por hackers00, quando a Apple disponibilizou a atualização.

Além das brechas que já estavam sendo exploradas, a Apple eliminou também duas falhas no FaceTime. Uma delas foi descoberta por um estudante de 14 anos.

Vulnerabilidades que são exploradas antes que o fabricante tenha corrigido o problema são chamadas de “falhas dia zero”. O “dia zero” refere-se ao tempo que um usuário teve para aplicar a atualização para se proteger antes de sofrer um ataque. Como a falha estava sendo usada antes mesmo de uma atualização existir, os usuários não tiveram tempo algum para isso e devem instalar a atualização imediatamente.

Hawkes não informou quem teria usado essas falhas e nem que tipo de ataque foi realizado por meio delas. Ataques contra o iPhone ou o iPad são relativamente raros, mas muitos dos casos que vieram a público envolvem algum software espião destinado a autoridades policiais. É o caso do programa espião Pegasus, que foi detectado após ser usado contra ativistas. Porém, não há nenhuma informação pública sobre os ataques envolvendo as novas brechas.

A mais grave das duas falhas estava presente em um componente chamado pela Apple de IOKit. O IOKit é responsável por intermediar comunicação dos apps com o hardware do aparelho para funções como gerenciamento de energia ou acesso a dispositivos conectados. De acordo com a Apple, essa falha dava acesso direto ao kernel — o “coração” do sistema, que é executado no nível mais elevado de permissões.

A outra brecha estava no “Foundation”, um componente assim chamado por ser fundação para o desenvolvimento de aplicativos. Ele oferece meios para armazenar dados no telefone e outras funcionalidades.

Essa brecha permitia que um hacker que já obteve acesso ao sistema (após convencer a vítima a instalar um aplicativo, por exemplo) elevasse suas permissões, viabilizando a leitura de informações que não deveriam estar ao alcance do invasor.

Estudante também descobriu falha

O iOS 12.1.4 também corrige duas falhas de segurança no aplicativo de comunicação FaceTime. Uma das brechas, descoberta pelo estudante Grant Thompson, de 14 anos, permitia ativar o microfone de outras pessoas adicionando-as a uma conversa de grupo. Dessa forma, era possível ouvir o áudio ambiente de outras pessoas que não teriam ciência de que foram convidadas para a conversa.

Thompson teria descoberto o problema enquanto tentava conversar sobre estratégias do game “Fortnite” com seus amigos. Avisada pelo estudante e pela mãe dele, a Apple desativou o recurso de conversas em grupo enquanto trabalhava na atualização.

Diferente de outras gigantes da tecnologia como Google, Microsoft e Facebook, a Apple não oferece compensação monetária a quem relata falhas de segurança em seus serviços e softwares. No entanto, excepcionalmente, a Apple decidiu oferecer uma recompensa a Thompson para que ele possa custear seus estudos, de acordo com a rede britânica “BBC”. O valor não foi informado.