Proponha uma correção, faça uma sugestão
Descoberta vulnerabilidade crítica no macOS, mas Apple já tratou do problema
Um grande risco de segurança esteve a afetar os utilizadores da Apple há algum tempo. Uma vulnerabilidade crítica descoberta no sistema operativo macOS permitiu que os atacantes acedessem às contas iCloud dos utilizadores simplesmente enviando um convite de calendário. A Apple respondeu à vulnerabilidade de segurança rapidamente e protegeu os utilizadores.
Vulnerabilidade crítica afetou o macOS
O incidente foi revelado pela primeira vez num relatório publicado recentemente. Conforme o relatório, os atacantes poderiam infiltrar-se nos dispositivos dos utilizadores e instalar malware simplesmente enviando um convite de calendário.
Importa destacar que este convite, quando adicionado ao calendário, permitiu aos atacantes aceder a fotografias e outros dados confidenciais da conta iCloud. Este era momento em que todos os dados do utilizador ficavam acessíveis e, provavelmente, comprometidos.
Foi literalmente um ataque de “zero clique”, ou seja, o utilizador nem sequer teve de clicar no convite recebido. Esta vulnerabilidade foi marcada com o código CVE-2022-46723 e representava um grande risco, principalmente para os utilizadores que tinham atualizado o sistema operativo macOS da versão Monterey para a Ventura.
Apple já tratou do problema de segurança
Felizmente, a Apple levou este risco a sério e tratou rapidamente a vulnerabilidade numa das atualizações regulares. Com as atualizações, as permissões de ficheiros na aplicação de calendário tornaram-se mais seguras, sendo adicionadas novas camadas de proteção para impedir a execução de software malicioso.
Estas vulnerabilidades de segurança é mais uma situação que mostra que todos os equipamentos devem ser atualizados periodicamente. As atualizações de segurança são as mais importantes e conseguem mitigar os problemas que vão surgindo.
Embora a Apple seja uma das empresas que mais aposta na segurança dos seus produtos, este exemplo revelou muito. Mesmo as grandes empresas podem ter vulnerabilidades de tempos a tempos e não estão imunes a estas situações críticas.
Loading ...
A imaginação dos hackers é mesmo fértil. Embora seja bastante preocupante, reconheço a proeza da descoberta da vulnerabilidade para efectuar um ataque.
À uns anos atrás, houve um mega-ataque a sites nem a sonae escapou, e um dos meus sites foi também atacado.
No entanto, consegui entrar em contacto e, com muita humildade, e claro, pelo site não ter qualquer importância, recebi uma resposta, indicando que o ataque tinha sido de forma automática sem acção humana. Algo que desconhecia, e indicaram-me porque pedi ajuda, para querer aprender a saber defender-me porque via estes ataques como uma oportunidade de aprendizagem.
E foi assim, que resolvi investir em conhecimento técnico mais aprofundado.
Transformei uma chatice (que foi realmente) num alerta pessoal e oportunidade.
“A Apple respondeu à vulnerabilidade de segurança rapidamente e protegeu os utilizadores.”
Só falta resolver todas as outras falhas que dão acesso não só ao SO, como tudo na iCloud…
Mais uma vulnerabilidade grave!
Tudo no iCloud?
Não, a vulnerabilidade era no macOS. O atacante conseguia que o Mac atacado sincronizasse/descarregasse as fotos do iCloud para uma pasta desprotegida do e também “podem ser copiadas para recursos externos e para servidores web externos”.
Um resumo e a explicação de talhada de quem descobriu a vulnerabilidade:
“Encontrei uma vulnerabilidade de clique zero [i.é, via anexo de uma mensagem em que não é preciso clicar] no Calendário do macOS, que permite que um invasor adicione ou exclua arquivos arbitrários dentro do ambiente sandbox do Calendário. Isso pode levar a muitas coisas ruins, incluindo a execução de código malicioso que pode ser combinado com a evasão de proteção de segurança com o Photos para comprometer os dados confidenciais do Photos iCloud dos utilizadores. A Apple corrigiu todas as vulnerabilidades entre outubro de 2022 e setembro de 2023.”
https://mikko-kenttala.medium.com/zero-click-calendar-invite-critical-zero-click-vulnerability-chain-in-macos-a7a434fc887b