Apple investiga falha de segurança presente desde o iOS 6
Falha pode ser explorada no iOS com o simples recebimento de um e-mail, mas já está sendo corrigida
Falha pode ser explorada no iOS com o simples recebimento de um e-mail, mas já está sendo corrigida
Imagine ter o seu celular invadido graças ao simples recebimento de um e-mail. Essa possibilidade aterradora parece improvável, mas existe: a empresa de segurança digital ZecOps revelou a descoberta de uma vulnerabilidade no iOS que dá abertura para esse tipo de ataque. A Apple já trabalha na correção do problema.
O relatório da ZecOps aponta que a falha vem sendo explorada pelo menos desde janeiro de 2018. Basicamente, a vulnerabilidade permite que código remoto seja executado no iPhone ou iPad com o simples recebimento de um e-mail ou abertura do aplicativo Apple Mail. Aplicativos de terceiros, como o Gmail, não são atingidos.
Esse é um ataque do tipo “clique zero”, o que significa que o usuário não precisa realizar nenhuma ação (como abrir um link ou arquivo anexado) para o código malicioso ser executado.
Se o código entrar em ação, o invasor poderá capturar, modificar e até excluir e-mails do usuário. Embora sem entrar em detalhes, a ZecOps dá a entender que várias pessoas já foram vítimas desse tipo de ataque.
Entre elas estariam funcionários de uma empresa americana que aparece na lista Fortune 500, um executivo de uma transportadora no Japão e um jornalista europeu. Isso mostra que os ataques não são massivos, mas direcionados a alvos específicos.
Embora os primeiros ataques detectados remetam a janeiro de 2018, a ZecOps acredita que outros podem ter sido executados muito antes. Há indícios de que o problema existe desde o iOS 6, lançado em 2012.
Não surpreende: é comum falhas com esse grau de gravidade serem tratadas com discrição pelos invasores para permitir o seu uso por grupos hackers, agências de inteligência e assim por diante.
Tal aspecto deixa claro que este é um problema do tipo zero-day (ou 0-day), quando vulnerabilidades são exploradas antes de que a empresa responsável pelo software consiga liberar correções.
A boa notícia é que a Apple foi notificada sobre o problema em 19 de fevereiro. Uma solução para o problema foi disponibilizada no iOS 13.4.5 beta. Em função disso, a ZecOps recomenda que a versão final do iOS 13.4.5 seja instalada assim que liberada publicamente.
Com informações: CNET, Motherboard.