FBI invadiu iPhone de atirador usando falha da Mozilla
Novo relatório explica como pesquisadores conseguiram explorar vulnerabilidade em código da Mozilla relacionado à porta Lightning
Novo relatório explica como pesquisadores conseguiram explorar vulnerabilidade em código da Mozilla relacionado à porta Lightning
Veio à público a forma como o FBI conseguiu invadir o iPhone de Syed Rizwan Farook, um dos atiradores que participou do atentado de San Bernardino em 2015. A ação ocorreu em parceria com uma pequena empresa de segurança australiana, chamada Azimuth Security, e não recebeu ajuda da Apple – segundo o relatório publicado pelo The Washington Post, a invasão foi possível graças a uma brecha da Mozilla.
O iPhone em questão, que roda o iOS 9, poderia apagar os dados do telefone após 10 tentativas de acesso sem sucesso, o que dificultava o processo de invasão. Apesar de tentar cooperar com o FBI, a Apple se recusou a desenvolver um sistema de desvio de senha sob a alegação de que a solução diminuiria permanentemente a segurança dos smartphones da marca.
Felizmente, o FBI não precisou de nenhum sistema alternativo da Apple – os pesquisadores da Azimuth Security exploraram uma falha em um módulo de software desenvolvido pela Mozilla, permitindo realizar quantas tentativas de acerto de senha fossem necessárias, sem que o conteúdo do telefone fosse deletado. A partir daí, o problema foi solucionado em algumas horas.
O relatório afirma que o hacking foi feito por dois funcionários da Azimuth, que descobriram que o código vulnerável havia sido usado pela Apple em iPhones com o objetivo de permitir o uso de acessórios com a porta Lightning. Com essa brecha, os hackers obtiveram o acesso inicial e abriram mais dois exploits, conseguindo controle total do sistema. Eles chamaram a cadeia de exploits de Condor.
De acordo com o Washington Post, a brecha não durou muito tempo – apenas o necessário para a invasão do FBI. A Mozilla teria lançado uma correção para o exploit da porta Lightning cerca de dois meses após a ação, durante uma atualização padrão adotada por diversas empresas, inclusive a Apple.
Do outro lado da história, o desfecho também não foi lá essas coisas: o FBI não chegou a encontrar nenhuma informação relevante para o caso no telefone – e nem conseguiu emplacar uma obrigatoriedade de que empresas comprometessem a segurança de seus dispositivos para cooperar com investigações.
Com informações: The Washington Post
Leia | Como um cabo Lightning pode permitir ataques [O.MG Cable]