Brecha no iMessage permitia invasão e roubo de informações no iPhone

Uma grave falha de segurança no iMessage, o sistema de mensagens instantâneas do iOS, poderia permitir a invasão e o roubo de informações de usuários da versão 12.4 do sistema operacional da Apple. Bastava que um indivíduo malicioso tivesse contato com a vítima, seja por número de telefone ou e-mail de ID da Maçã, para que a exploração pudesse acontecer para fins de espionagem e furto de dados.

A brecha foi relatada pelo Google e já resolvida pela Apple em uma atualização liberada em agosto de 2019, que levou o iOS à versão 12.4.1. Agora, a empresa revela os detalhes da exploração em uma série de três publicações do Project Zero, seu projeto voltado justamente à descoberta de falhas de segurança com esse tipo de gravidade. Foi por meio dele que a Maçã foi contatada para que fechasse a brecha antes mesmo de existirem indícios de uma exploração pública dela.

A vulnerabilidade, batizada como CVE-2019-8641, poderia ser explorada em minutos e a partir de uma mensagem de texto recebida pelo iMessage. O problema estava localizado na função que permite aos usuários saberem quando suas comunicações foram lidas — a partir da manipulação de um sistema de randomização de dados chamado ASLR, criminosos poderiam executar códigos maliciosos remotamente e, a partir daí, obter acesso aos dados presentes no iPhone ou iPad. A ironia é que o recurso, originalmente, foi aplicado pela Apple justamente para tentar proteger os usuários de explorações dessa categoria.


Podcast Porta 101: a equipe do Canaltech discute quinzenalmente assuntos relevantes, curiosos, e muitas vezes polêmicos, relacionados ao mundo da tecnologia, internet e inovação. Não deixe de acompanhar.

A partir do envio e abertura de uma mensagem, os hackers poderiam realizar diferentes tipos de ações, como a obtenção de informações a partir de aplicativos, a extração de senhas para login em diferentes serviços, o furto de dados como fotos e listas de contatos e até a ativação da câmera e do microfone para fins de espionagem. Todas as ações aconteciam sem que a vítima percebesse que algo de errado estava acontecendo, já que a vulnerabilidade nem mesmo exigia ações comuns em explorações desse tipo, como o download de softwares maliciosos ou o clique em links dessa categoria.

De acordo com o Project Zero, a Apple foi informada sobre a vulnerabilidade em meados do ano passado, liberando uma correção preliminar no iOS 12.4.1. Medidas adicionais de segurança vieram um pouco mais tarde, em 28 de outubro, com a atualização 13.2 do sistema operacional, que na opinião do pesquisador em segurança Samuel Groß, mitigou o problema. Ele foi o responsável por descobrir a falha ao lado da especialista Natalie Silvanovich, que garantiram a correção da falha pela Maçã.

Não é a primeira vez, também, que o Project Zero relata falhas graves no iOS. Apenas no ano passado, por exemplo, foram duas, incluindo outra vulnerabilidade que permitia acesso remoto a arquivos e uma brecha também no iMessage que poderia gerar o travamento completo do iPhone, um problema resolvido apenas com uma restauração completa do celular.

A melhor forma de se manter protegido é garantir que o aparelho com iOS esteja atualizado, não apenas no sistema operacional em si, mas também quanto a aplicativos e outras soluções. O ideal é baixar os updates assim que eles forem liberados, já que eles podem conter correções críticas para falhas dessa categoria.

Além disso, é sempre bom ficar de olho em comunicações estranhas. Neste caso, não era preciso nem mesmo clicar em um link, mas a maioria dos ataques exige algum tipo de interação dessa categoria por parte do usuário. Por isso, evite baixar soluções que venham por e-mail ou mensagem de texto, principalmente se o remetente for desconhecido ou a mensagem, em si, não pareça confiável, ainda que supostamente enviada por conhecidos.

Leia a matéria no Canaltech.

Trending no Canaltech:

  • Vazamento de dados em site adulto atinge seis mil pessoas, incluindo brasileiros
  • Mulher tenta escapar do trabalho com o pior Photoshop de 2020 (até agora…)
  • Parceria oferece 100 mil vagas gratuitas em cursos de programação
  • Loja não-oficial da Xiaomi no Brasil desaparece e deixa clientes na mão
  • Galaxy S20: vazam especificações de câmeras com nova tecnologia e mais
Botão Voltar ao topo
Fechar

Adblock detectado

Por favor, considere apoiar-nos, desativando o seu bloqueador de anúncios