2020/04/26

Apple disputa existência de 0-day no iOS em uso há dois anos


O relato de uma falha de uma vulnerabilidade no iOS que permitia infectar o sistema através de um simples email sem qualquer interacção do utilizador, e que estaria a ser usado há anos, levantou bastante perguntas - mas a Apple diz que não é o caso.

A empresa de segurança ZecOps diz ter descoberto vulnerabilidades que permitem que um atacante se apodere de um iPhone ou iPad mediante o simples envio de um email, sem necessidade que o utilizador clique em qualquer link malicioso. A piorar a situação, dizem também que esta vulnerabilidade está a ser usada há pelo menos dois anos em campanhas de ataque direccionadas.

No entanto, vários outros especialistas e a própria Apple já vieram dizer que não é bem assim, dizendo que as falhas poderão provocar o crash do sistema, mas que estão longe de permitir a execução de código remoto e de se apoderarem dos equipamentos, como está a ser dito.



A Apple refere ainda que não descobriu qualquer indício de que esta falha estaria a ser usada há anos, como indicado pela empresa de segurança; embora a ZecOps continue a insistir nisso, referindo que irá fornecer mais detalhes e informação sobre esses ataques após a Apple corrigir as vulnerabilidades em questão.

Uma coisa é certa, alguém irá ficar mal visto: ou a Apple por estar a tentar minimizar uma vulnerabilidade potencialmente de alto-risco, ou a empresa de segurança por estar a tentar fazer passar um bug mais simples como sendo uma falha grave. Entretanto, é de esperar que a Apple lance uma actualização a tratar do problema (e também do novo bug dos caracteres sindhi) nos próximos dias.

1 comentário:

  1. Faz sentido chamar 0-day se responsável pela correção já sabe da vulnerabilidade? Não é número um contador de dias desde que o developer descobre a falha e uma forma de assinalar há quanto tempo é que ela está exploitable?

    ResponderEliminar

[pub]