Atualizou aí? iOS 15.0.2 corrige falha de segurança explorada ativamente

Segundo o pesquisador Denis Tokarev, uma das vulnerabilidades zero-day foi reportada há meses, mas Apple não deu os créditos e pediu confidencialidade

Ana Marques
• Atualizado há 2 anos e 11 meses

O iOS 15.0.2, lançado pela Apple na segunda-feira (11) traz algumas correções de bugs conhecidos, como o de fotos que sumiam ao deletar tópicos do iMessage. No entanto, a atualização também tem uma solução silenciosa para duas falhas de segurança, uma delas explorada ativamente por invasores. A situação fica pior: um dos bugs do tipo zero-day teria sido reportado por um pesquisador de segurança há sete meses — mas, segundo ele, a empresa ignorou e não o creditou pela descoberta.

A primeira falha (CVE-2021-30883) é descrita como um “problema de corrupção de memória” e afeta a extensão de kernel IOMobileFrameBuffer, usada para gerenciar a memória do monitor. Por ela, aplicativos maliciosos poderiam executar um código arbitrário com privilégios de kernel.

A outra trata-se de uma brecha que permitia que qualquer aplicativo na App Store tivesse acesso a dados pessoais do usuário, incluindo nome completo, endereço de e-mail do Apple ID e token de autenticação, entre diversas outras informações privilegiadas.

O desenvolvedor de software Denis Tokarev afirma que reportou o problema há sete meses e, de acordo com a tabela do programa de recompensas por bugs da Apple, essa falha renderia US$ 100 mil ao pesquisador. Entretanto, a companhia ainda não efetuou o pagamento, e nem deu os créditos a Tokarev.

Apple pediu “confidencialidade” ao pesquisador

Como reporta o BleepingComputer, Denis Tokarev encontrou esta e mais falhas zero-day no iOS nos últimos meses e as relatou para a empresa. Algumas delas foram resolvidas pela Apple em versões anteriores do sistema. Um exemplo é outro bug deste tipo corrigido sem os devidos créditos a Tokarev em julho deste ano, com o iOS 14.7.

O pesquisador diz que a Apple respondeu a um e-mail sobre a falta de créditos neste caso. Segundo ele, a mensagem afirmava que a empresa teve um “problema de processamento”, e iria incluir o crédito sobre a descoberta em uma atualização futura.

Agora, com a repetição da situação no iOS 15.0.2, a Apple teria pedido confidencialidade sobre a sua troca de e-mails a Tokarev.

https://twitter.com/illusionofcha0s/status/1448269165417148418

O programa de recompensa por bugs da Apple vem sendo alvo de reclamações de pesquisadores e “caçadores” de falhas. Outros profissionais já criticaram a empresa pelo mesmo motivo: falta de crédito e correção silenciosa de brechas de segurança. Além disso, há quem reporte que a companhia não realizou o pagamento do valor correto listado pela tabela oficial programa.

Como atualizar para o iOS 15.0.2?

Se você é usuário de iPhone, é importante atualizar para a versão mais recente do sistema o quanto antes, evitando que seu smartphone fique exposto às vulnerabilidades reportadas acima.

Para instalar a atualização, acesse “Ajustes” > “Geral” > “Atualização de software”.

Com informações: The Register, BleepingComputer

Leia | Como desativar as notificações na tela de bloqueio do iPhone

Relacionados

Escrito por

Ana Marques

Ana Marques

Gerente de Conteúdo

Ana Marques é jornalista e cobre o universo de eletrônicos de consumo desde 2016. Já participou de eventos nacionais e internacionais da indústria de tecnologia a convite de empresas como Samsung, Motorola, LG e Xiaomi. Analisou celulares, tablets, fones de ouvido, notebooks e wearables, entre outros dispositivos. Ana entrou no Tecnoblog em 2020, como repórter, foi editora-assistente de Notícias e, em 2022, passou a integrar o time de estratégia do site, como Gerente de Conteúdo. Escreveu a coluna "Vida Digital" no site da revista Seleções (Reader's Digest). Trabalhou no TechTudo e no hub de conteúdo do Zoom/Buscapé.