iPhones e Macs são atualizados para corrigir falha usada por spyware Pegasus

Duas vulnerabilidades encontradas em produtos da Apple permitiam a atacantes instalar o spyware Pegasus sem nenhuma ação do usuário

Giovanni Santa Rosa
Por
iPhone 13 Mini (Imagem: Darlan Helder/Tecnoblog)

A Apple liberou nesta quinta-feira (7) atualizações emergenciais de segurança para iPhones, iPads, Macs e Apple Watches. Os updates visam consertar duas vulnerabilidades que permitiam a instalação do spyware Pegasus. Os erros foram corrigidos no macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2.

Entre os modelos afetados, estão:

  • iPhone 8 e mais recentes
  • iPad Pro (todos os modelos)
  • iPad Air (3ª geração e mais recentes)
  • iPad (5ª geração e mais recentes)
  • iPad Mini (5ª geração e mais recentes)
  • Macs que rodam o macOS Ventura
  • Apple Watch Series 4 e mais recentes

Falha permitia instalação do spyware Pegasus

As duas brechas de segurança foram chamadas “Blastpass” por pesquisadores do Citizen Lab da Universidade de Toronto (Canadá). As falhas foram identificadas com os códigos CVE-2023-41064 e CVE-2023-41061.

Com elas, um atacante era capaz de instalar um malware ao carregar uma imagem ou um anexo em apps como Safari, Mensagens ou WhatsApp, além de outros aplicativos de terceiros ou da própria Apple.

Esse tipo de vulnerabilidade é chamado “zero-click”, já que pode ser explorado sem necessidade de uma ação do usuário.

Segundo o Citizen Lab, o Blastpass estava sendo usado para instalar o spyware Pegasus, criado e vendido pela empresa israelense de tecnologia NSO Group. O Pegasus é uma ferramenta que rouba informações e ações das vítimas. Ele funciona no Android e no iOS.

O Pegasus é usado, na maioria das vezes, com fins de espionagem política. Indivíduos que estão expostos a esse tipo de risco podem usar o Modo de Bloqueio (ou Lockdown Mode, em inglês) da Apple.

O Modo de Bloqueio desativa vários tipos de vetores de ataques, como anexos, previews de links, algumas tecnologias de páginas da web, convites para eventos e ligações do FaceTime, entre outros. A Apple adverte que pouquíssimas pessoas precisam do recurso, e ele só deve ser usado em casos extremos.

Apple corrigiu 13 falhas zero-day em 2023 até agora

Com as duas vulnerabilidades corrigidas na quinta-feira, a Apple chegou a 13 brechas de segurança do tipo zero-day consertadas em 2023.

Além das atualizações regulares, a Apple conta desde maio de 2023 com o Rapid Secure Response, uma forma mais rápida de corrigir problemas de segurança de seus produtos. O recurso permite fazer o conserto sem precisar de um update completo.

Brechas zero-day são aquelas descobertas por empresas ou pesquisadores quando já estão sendo usadas para ataques. O nome se deve ao fato de que os desenvolvedores têm “zero dia” para consertá-las.

Com informações: Ars Technica, Bleeping Computer, Citizen Lab

Receba mais sobre Pegasus na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Relacionados

O que é um spyware?
O que é um spyware?
Google alerta sobre Hermit, um poderoso spyware para Android e iPhone
Google alerta sobre Hermit, um poderoso spyware para Android e iPhone
Google revela que governos usaram falha dia zero no iPhone para espionagem
Google revela que governos usaram falha dia zero no iPhone para espionagem
Chefe do WhatsApp rebate grupo que vende Pegasus para espionar celulares
Chefe do WhatsApp rebate grupo que vende Pegasus para espionar celulares
Brechas no Apple Music, Fotos e iMessage foram usadas para espionar iPhones
Brechas no Apple Music, Fotos e iMessage foram usadas para espionar iPhones
Fundador do Telegram afirma ter sido alvo do spyware Pegasus
Fundador do Telegram afirma ter sido alvo do spyware Pegasus
App brasileiro WebDetetive sofre ataque e dados de 76 mil usuários são roubados
App brasileiro WebDetetive sofre ataque e dados de 76 mil usuários são roubados
WhatsApp recebe apoio de Google e Microsoft contra empresa de spyware
WhatsApp recebe apoio de Google e Microsoft contra empresa de spyware
Novo malware coleta dados de usuários do Google Drive, iCloud e mais
Novo malware coleta dados de usuários do Google Drive, iCloud e mais
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Falha de segurança afeta Chrome, Firefox, Edge e mais apps