Desde que a Apple resolveu enfrentar o FBI e os seus pedidos de acesso ao iPhone, que todos se têm debruçado sobre a segurança dos produtos Apple.
A marca de Cupertino tem feito um trabalho muito importante e garante segurança máxima, mas infelizmente é possível e extremamente simples criar e instalar malware em qualquer iPhone.
Um dos pontos centrais da Apple para o seu software é garantir que estes têm os mais elevados padrões de segurança e que conseguem proteger os seus utilizadores e os seus dados. A tarefa tem sido conseguida e são poucas as situações em que existem falhas e que as exploram.
Mas como foi recentemente provado, é extremamente simples criar aplicações que têm malware e que recolhem dados dos utilizadores.
Como é criado este malware?
A prova de conceito que foi publicada assenta toda na aplicação Su-A-Cyder, criada pelo arquitecto chefe da empresa Mi3 Security, Chilik Tamir. Com o acesso a qualquer aplicação original, esta ferramenta pode ser usada para injectar código malicioso e assim infectar qualquer iPhone.
O exemplo apresentado mostra o Skype a ser instalado num iPhone e a recolher dados do utilizador, que entre eles estão as coordenadas GPS, contactos e muito mais informação.
O Su-A-Cyder é de tal forma perfeito que, durante o processo de criação da nova aplicação contacta os servidores da Apple e cria as assinaturas necessárias para ser reconhecido como uma aplicação válida.
Há motivo para temer este malware?
Na verdade e mesmo com todas as capacidades que o Su-A-Cyder traz, este é um problema que a maioria pode ignorar e que é resolvido com algumas medidas mínimas de segurança.
Para poder ser usada esta ferramenta o atacante tem de ter acesso físico ao iPhone e ter também conhecimentos de programação. Para além disso tem de ter uma conta de programador Apple, o que não é necessariamente difícil de conseguir.
Para se protegerem, os utilizadores precisam apenas de colocar um código de bloqueio, eliminando assim a possibilidade de ser instalado qualquer software estranho e com intenções maliciosas.
Apesar de ser um problema que afecta o iPhone e o iOS, a Apple não tem qualquer forma de bloquear esta ameaça. Ela faz uso de uma funcionalidade que os programadores precisam para testar novas aplicações.
O único ponto em que a Apple poderia agir é controlando a atribuição de contas de programador, que qualquer um com um simples email pode conseguir.