Atualize seu iDevice: uma simples imagem pode colocar seus dados em risco
Vulnerabilidade se baseia em arquivos usados por designers, como TIFF, OpenEXR, COLLADA e BMP
Uma falha de segurança descoberta pela Cisco mostra que milhões de Macs e dispositivos com iOS estão em risco se não estiverem com a última versão do sistema operacional. A exposição afeta arquivos que são usados principalmente por designers, como TIFF, OpenEXR (.exr), COLLADA (.dae) e BMP.
O mais vulnerável, e também um dos mais usados, é o TIFF. O formato, controlado pela Adobe, pode ser infectado para executar um código remoto no dispositivo, o que pode comprometer a segurança e os dados do usuário. A vulnerabilidade está na API de renderização Image I/O, que basicamente lê os dados de uma imagem e escreve-os em um destino específico.
Segundo a Cisco, é uma falha bem preocupante porque pode ser explorada por qualquer aplicativo que faz uso dessa API, seja por uma mensagem no iMessage, uma página da web maliciosa ou por um MMS. Em alguns casos, o usuário não precisaria nem fazer nada, já que o iMessage, por exemplo, renderiza a imagem automaticamente. Com a falha na API, seria fácil para o hacker conseguir acesso remoto a um dispositivo.
Em outros formatos, a vulnerabilidade é bem parecida, mas não há o risco de ser renderizada sem ação do usuário. Nos formatos OpenEXR e COLLADA, que são usados para a criação de algum conteúdo específico, é necessário o clique para o código malicioso ser ativado. O mesmo acontece com o BMP, mas ele pode ser aberto no Preview da Apple como qualquer outra imagem ou PDF. A falha está localizada na forma como as informações de tamanho da imagem são escritas, que podem ser o gatilho para o acesso remoto acontecer.
Apesar de serem arquivos estranhos para a maioria dos usuários, a Cisco considera esses formatos de imagem uma excelente fonte para o ataque, uma vez que eles podem ser distribuídos facilmente por e-mail e web. A familiaridade com os arquivos pode fazer profissionais da área executarem as imagens sem suspeitar do que está acontecendo. A falha também afeta a Core Graphics API e o Scene Kit da Apple, que, junto com o Image I/O, são bastante usados principalmente no OS X.
Com o poder de executar qualquer coisa no computador do usuário, o hacker pode conseguir acesso a imagens, fotos, vídeos e até senhas não-criptografadas. É impossível não notar semelhança com uma das maiores falhas de segurança do Android, o Stagefright. A diferença é que, no caso do Android, era muito mais difícil consertar a vulnerabilidade em cada dispositivo da plataforma. No caso da Apple, uma atualização para OS X e iOS já resolveu o caso.
Se você está usando o OS X El Capitan 10.11.5, iOS 9.3.2, watchOS 2.2.1 e/ou o tvOS 9.2.1 ou inferior, seu dispositivo está vulnerável. Corra e atualize para a versão mais recente de cada plataforma, que é OS X El Capitan 10.11.6, iOS 9.3.3, watchOS 2.2.2 e tvOS 9.2.2. Essas novas, que a Apple soltou apenas há alguns dias, já não estão mais vulneráveis.
Com informações: The Next Web.