2019/08/30

Sites maliciosos puderam infectar e espiar iPhones durante anos


Investigadores da Google revelaram uma série de vulnerabilidades no iOS que, durante pelo menos dois anos, permitiram que sites maliciosos pudessem espiar e infectar iPhones, acedendo às suas fotos, mensagens, e mais.

O iOS é um sistema considerado seguro, e a Apple faz todos os esforços para assim o manter, oferecendo até 1 milhão de dólares como recompensa por vulnerabilidades que sejam descobertas. Só que isso não evita que, como em todos os outros sistemas, as falhas e vulnerabilidades existam... e com nível de gravidade preocupante. A divisão de segurança Project Zero da Google revelou finalmente uma série de falhas graves no iOS que permitia infectar iPhones que se limitassem a visitar um site malicioso, sem necessidade de qualquer interacção adicional por parte do utilizador.

Por norma, muitas das vulnerabilidades necessitam que o utilizador faça algo, como clicar num link malicioso para serem despoletadas; mas neste caso, bastava simplesmente visitar um site para dar aos atacantes acesso "root" indiscriminado ao iPhone, incluindo acesso às fotos, localização, mensagens, passwords gravadas, possibilidade de instalar spyware, etc. etc. O caso era tão grave que em vez dos habituais 90 dias dados para resolver o problema, os investigadores deram apenas 7 dias à Apple para o fazer, no passado mês de Fevereiro - que passados 6 dias lançou o então iOS 12.1.4.

A falha afectava dispositivos com versões do iOS 10 ao iOS 12, e estava a ser explorada por diversos sites; com os investigadores a alertarem que, embora as campanhas que utilizavam estas técnicas tenham sido inutilizadas, será bem provável que existam outras em curso.


Actualização: os sites que estavam a explorar esta vulnerabilidade nos iPhones também estavam a explorar falhas em Android e Windows. O alvo seria a minoria étnica Uyghur na China assim como os seus simpatizantes.

Sem comentários:

Enviar um comentário (problemas a comentar?)