Os problemas de segurança têm, nos últimos dias, afectado de forma séria a Apple. São várias as falhas que se conheceram para o OSX e para os Mac, todas com um elevado grau de perigo.
A mais recente a ser descoberta vem agora para o campo do iOS, permitindo a qualquer atacante instalar aplicações maliciosas sem que o utilizador tenha consciência disso.
Esta falha do iPhone consegue enganar os utilizadores e substituir-lhe aplicações presentes em sistema por outras que estão alteradas e controladas pelos atacantes.
O primeiro passo, que está provado que funciona, leva a que os atacantes consigam contornar os mecanismos de controlo da origem das aplicações, levando a que o iOS seja convencido que a origem das aplicações é fidedigna.
O Masque, nome que esta técnica tem, não é novo, mas agora usa a técnica ‘URL Scheme Hijacking’. Depois de enganado o iOS, os utilizadores apenas necessitam de clicar num link malicioso, muitas vezes propagado por email, para que sejam descarregadas e instaladas as novas versões das aplicações conhecidas.
O problema é que o descarregar e instalar destas aplicações alteradas é feito de forma completamente escondida, sem que os utilizadores tenham disso conhecimento.
Daqui em diante estas aplicações são usadas da forma normal, mas em fundo estão a recolher informação e dados dos utilizadores, enviando-os depois para os atacantes.
Não existe uma forma clara para os utilizadores se protegerem. Apenas devem evitar clicar em links maliciosos e ter atenção às aplicações que têm instaladas.
Importa alertar que muitas aplicações normalmente usadas estão já a ser alteradas e usadas para explorar esta falha do iPhone. Aplicações como o Twitter, Facebook e WhatsApp sabem-se que estão a ser usadas.
Os investigadores que detectaram esta falha reportaram que em teoria esta pode ser explorada em qualquer sistema operativo, mas a prova que foi feita e que se sabe estar já a ser usada assentou no iPhone.
Esta foi mais uma técnica que foi descoberta pela análise da informação que foi roubada à empresa Hacking Team, e que tem revelado várias técnicas que eram usadas para monitorizar utilizadores e obter deles informação.