Aplicação Mail do iPhone com grave falha de segurança
24 Abril, 2020Uma falha de segurança permitiu que hackers tivessem acesso aos iPhone através da aplicação Mail da Apple, que a Apple ainda não corrigiu. A informação está a ser avançada pelo pessoal da empresa de segurança cibernética, ZecOps, que começou a realizar pesquisas depois de encontrar linhas de código suspeitas nos iPhone pertencentes a um cliente.
Zuk Avraham, executivo-chefe e co-fundador da ZecOps, disse que o código destacou-se porque não foi encontrado em muitos outros iPhones. Avraham e outros na empresa investigaram a situação durante meses, e finalmente descobriram que a falha estava ligada a uma aplicação de e-mail da Apple, e que continha uma falha anteriormente desconhecida. Entretanto alertaram a Apple, que até hoje ainda não resolveram a situação.
A descoberta da falha destaca um problema que vem surgindo cada vez mais nos últimos meses. Enquanto o marketing da Apple alega que os seus iPhones são mais seguros que os da concorrência, o seu sistema operativo móvel chamado iOS é particularmente vulnerável a ataques sofisticados, como o que aconteceu com o presidente-executivo da Amazon, Jeff Bezos, no ano passado.
Como o ataque suspeito no telefone de Bezos, o hack que o ZecOps diz ter descoberto é chamado de ataque de “clique zero”. Embora ataques menos sofisticados exijam que a vítima clique num link, geralmente num e-mail de phishing ou mensagem de texto, uma exploração de clique zero não requer participação da vítima.
Nesse caso, os autores podem enviar um e-mail para a vítima que conta com código malicioso. Esse código pode então desencadear uma reacção em cadeia, chamada de “cadeia de exploração”, que derruba todas as defesas do telefone, uma por uma, apagando os seus rastros ao longo do caminho e tornando quase impossível a sua detecção.
Aplicação Mail do iPhone com falha de segurança
Avraham recusou-se a citar os clientes que acredita terem sido alvos, mas disse num blog que inclui uma empresa da Fortune 500 na América do Norte, um jornalista na Europa, um executivo no Japão e outros.
A ZecOps ainda não tem ideia de quem poderia estar por trás destes ataques que, segundo ele, afectaram os seus clientes, mas Avraham disse numa entrevista que acreditava que o ataque provavelmente foi realizado por um estado-nação ou parte de uma entidade que investiga profundamente.
A Apple dificulta que os especialistas em segurança encontrem bugs nos iPhones, o que reduz o número de pessoas capazes de investigar o sistema operativo, e aumenta simultaneamente o valor das explorações, que são vendidas no mercado negro pela maior oferta.
Esses licitantes incluem estados-nação e empresas outras empresas de segurança que ajudam entidades de bolso a invadir os iPhones dos seus “inimigos”. Quando uma exploração é bem-sucedida, a segurança bloqueada da Apple torna quase impossível que as vítimas saibam que foram invadidas.
A obscuridade do iOS dificulta extremamente o trabalho de empresas como a ZecOps. Mesmo com a capacidade de verificar os registos dos iPhones dos seus clientes, a empresa geralmente só consegue teorizar se houve um ataque, com graus variados de certeza. É isso que torna a sua descoberta mais recente tão rara. Conseguiu, essencialmente, fazer engenharia reversa de actividades suspeitas e usá-las para descobrir uma verdadeira exploração de segurança desconhecida.
Enquanto o hack levanta questões sobre se os utilizadores do iPhone devem usar a aplicação de email interno, removê-la pode criar desafios para os utilizadores. Mesmo que um cliente da Apple exclua a aplicação Mail, não há como alterar a aplicativo de email padrão para uma aplicação concorrente, como por exemplo o Outlook. A exclusão da aplicação pode levar à perda de funcionalidades. Por exemplo, clicar num link de e-mail não funcionará mais e os utilizadores serão comtemplados por uma mensagem da Apple a solicitar que descarreguem novamente a aplicação Mail.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
