O iOS, e os restantes sistemas operativos da Apple, têm a confiança dos utilizadores no quesito da segurança. Contudo, as falhas de segurança existem e podem ser graves… Tal como a que foi descoberta pela Google, em que era possível hackear um iPhone remotamente em poucos minutos.
Neste caso em particular, a ameaça destaca-se por permitir que o agente malicioso realize o ataque sem qualquer contacto físico, software específico ou clique indevido cometido pelo utilizador.
A Google criou o Project Zero para que a segurança na Internet seja elevada a um novo nível. O objetivo passa sobretudo por analisar vários sistemas informáticos, serviços e software, de modo a encontrar falhas de segurança que possam comprometer os utilizadores e os seus dados.
No que toca a este quesito, a oferta da Apple tem relevado estar no topo das preferências dos consumidores. Para tal contribui o facto de ser um sistema fechado, mas está longe de ser imune a ameaças.
É o que demonstra um dos mais recentes relatórios do Project Zero. De forma completamente remota, um atacante podia controlar um iPhone em poucos minutos.
Falha de segurança compromete a segurança do iPhone e restantes dispositivos com iOS
A falha estava relacionada com o iMessage e permitia que o agente malicioso ganhasse controlo do dispositivo com iOS. Deste modo, tinha acesso a palavras-passe, mensagens, e-mails e a todo o conteúdo no smartphone ou tablet.
Nestes casos, é comum que o utilizador tenha de clicar num link malicioso, instalar um software específico ou assim… Não obstante, desta vez tal não ocorria! Para estar vulnerável, bastava ter um dispositivo iOS com o iMessage ativado.
No caso do atacante, este não precisava de ter acesso físico ao equipamento. A falha era tão abrangente que apenas era necessário ter o Apple ID da vítima. Após isto, podia dar início ao ataque usando o iMessage.
A vulnerabilidade, batizada de CVE-2019-8641, estava relacionada com a funcionalidade que permite saber quando uma mensagem foi lida. Através da manipulação de uma falha no sistema de segurança ASLR, era possível executar código malicioso no iPhone ou iPad da vítima.
De acordo com o Project Zero, a Apple foi informada sobre a vulnerabilidade em meados do ano passado, disponibilizando uma correção preliminar no iOS 12.4.1. Medidas adicionais de segurança vieram um pouco mais tarde, no dia 28 de outubro, com a atualização 13.2 do sistema operativo móvel da Apple.
Segundo a opinião do investigador de segurança Samuel Groß – do Project Zero da Google – o problema foi plenamente resolvido e assim a falha de segurança pôde ser disponibilizada para conhecimento da comunidade.