Há alguns dias, o código fonte iBoot da Apple apareceu no GitHub. Embora tenha sido imediatamente retirado, muitas pessoas ainda conseguiram carregá-lo para outros sites a tempo. O software iBoot é um componente central do iOS e considerado altamente sensível.
Agora, um relatório apresentado a público pelo site Motherboard revelou que o código foi originalmente fornecido por um antigo estagiário da Apple.
O que faz o iBoot?
Como foi reportado há uns dias, o iBoot é, de forma simplificada, a BIOS do iPhone. É responsável por garantir que o sistema operativo arranca em segurança e com todos os elementos necessários. Garante ainda que o Kernel, que está a ser usado, está corretamente assinado pela Apple.
Segundo a Apple, este código fonte é já antigo, tem pelo menos três anos e a segurança dos produtos não depende do segredo do código fonte. A empresa de Cupertino reforça que existem muitas camadas de proteção de hardware e software incorporadas nos seus produtos.
Cinco amigos apontados neste “crime”
De acordo com o relatório, o estagiário que roubou o código fonte iOS, originalmente distribuiu-o a cinco dos seus amigos que faziam parte da comunidade iOS jailbreak.
Embora inicialmente tenha sido decidido que o código não seria distribuído para fora deste pequeno grupo, este acabou por se espalhar além do controlo do grupo.
Nalgum momento, foi partilhado num grupo de chat Discord e, em seguida, há cerca de quatro meses, surgiu no Reddit, passando despercebido na altura, talvez devido ao “Auto Moderador” ter excluido o post. No entanto, o código foi publicado no GitHub alguns dias atrás, que é quando o “leak” começa a ter uma grande cobertura.
Apple tomou conta da fuga
De acordo com um dos amigos acima mencionados, o ex-estagiário conseguiu roubar “todo tipo de ferramentas internas da Apple”. Isso corrobora a informação do site Motherboard de que o código fonte adicional e os nomes dos ficheiros, que não faziam parte do que fora colocado no GitHub, foram vistos nas capturas de ecrã do código que apareceu no post do Reddit.
Duas das pessoas do círculo original dos cinco declararam que nunca quiseram que o código se espalhasse devido ao medo de ações legais. No entanto, ninguém do grupo confirmou a fuga do código para terceiros e as identidades dos cinco permanecem anónimas. O ex-funcionário recusou-se a dar qualquer declaração ao site Motherboard, referindo-se a um acordo de não divulgação que assinou com a Apple.
Milhões de utilizadores poderão estar expostos
Curiosamente, apesar de um investigador do iPhone chamá-lo de “maior fuga” na história do iPhone, a própria empresa afirmou que este “leak” do código iBoot não afeta a segurança dos dispositivos atuais.
Como o código-fonte é do iOS 9, quaisquer possíveis problemas de segurança foram eventualmente corrigidos nos últimos dois anos. No entanto, tendo em mente que, de acordo com as estatísticas da Apple, milhões de dispositivos ainda executam o iOS 9 ou abaixo, muitos utilizadores do iPhone podem enfrentar preocupações de segurança se as vulnerabilidades de segurança do código forem exploradas.
Fonte: Motherboard via The Verge
No final de toda esta informação há uma questão que de certeza ecoa em todas as cabeças: como um empregado de Apple, estagiário, conseguiu ter acesso a alguns dos códigos mais sensíveis do iPhone?