O iPhone é para muitos símbolo de segurança e de proteção. A Apple faz questão de se manter fiel a esse princípio e procura manter os utilizadores protegidos. Ainda assim, uma nova falha de segurança foi descoberta e torna simples roubar dados dos utilizadores. Esta parece ter sido ignorada pela Apple e tem um impacto grande. Basta navegar na Internet para poder ser atacado.
Nova falha de segurança do iPhone
Os SoCs da série A da Apple são conhecidos pela sua velocidade, eficiência e segurança. Uma falha recentemente descoberta sugere que podem não ser tão seguros como se pensava. Investigadores encontraram vulnerabilidades graves nos processadores mais recentes da Apple que podem permitir aos hackers roubar dados privados, bastando para isso visitar o site errado.
Uma equipa de especialistas em segurança da Georgia Tech e da Universidade Ruhr descobriu duas falhas nos SoCs A15, A16 e A17 da Apple. Estes processadores alimentam as séries iPhone 13, iPhone 14, iPhone 15 e iPhone 16. Estas vulnerabilidades, denominadas FLOP (False Load Output Prediction) e SLAP (Speculative Load Address Prediction), permitem aos hackers manipular como os SoCs da Apple processam os dados para aumentar o desempenho.
A parte mais assustadora é que estes ataques não requerem malware, esquemas de phishing ou mesmo acesso físico ao iPhone. Em vez disso, os hackers podem explorar estas fraquezas remotamente. Tudo o que é necessário é que incorporem código JavaScript ou WebAssembly malicioso num site. Quem aceder a uma destas páginas infetadas, pode ver os seus dados confidenciais expostos sem que saiba.
Hackers roubam dados ao navegar na Internet
Os investigadores de segurança testaram estas explorações em cenários do mundo real e descobriram que os atacantes podiam aceder à sua caixa de entrada do Gmail, ao histórico de encomendas da Amazon, à atividade do Reddit, ao histórico de localização do Google Maps e aos eventos do Calendário do iCloud. Mesmo um deles é bastante assustador, mas todos eles combinados são assustadores.
A forma como funcionam esses ataques é, como explicado, relativamente simples. Os ataques FLOP afetam os SoC A17, encontrados no iPhone 15 Pro e Pro Max. Os hackers podem manipular as previsões de memória para aceder a dados confidenciais. Já os ataques SLAP têm como alvo os SoCs A15 e mais recentes, no iPhone 13, 14 e 15. Este método engana a CPU para que esta interprete mal os endereços de memória, expondo informações confidenciais.
A Apple foi notificada sobre estes problemas de segurança em março e setembro de 2024, mas até agora não foi lançada nenhuma correção oficial. A empresa minimizou os riscos, afirmando que com base na sua análise, acreditam que este problema não representa um risco imediato para os utilizadores. No imediato, os especialistas em segurança recomendam desativar o JavaScript no Safari e no Chrome, o que vai tornar muitos sites inutilizáveis.