No começo deste ano, a Apple corrigiu uma vulnerabilidade do iOS que poderia ter permitido que crackers acessassem iPhones próximos e ganhassem o controle do dispositivo, tudo isso remotamente.
A falha foi descoberta por Ian Beer, pesquisador do Project Zero do Google, em 2018 — porém divulgada publicamente só agora. Segundo Beer, a vulnerabilidade residia no Apple Wireless Direct Link (AWDL), protocolo de rede mesh da Maçã o qual permite que recursos como o AirDrop e o Sidecar funcionem.
Beer revelou a impressionante façanha e mostrou em detalhes como a falha de corrupção de memória no AWDL poderia dar a invasores acesso remoto aos dados pessoais de um usuário, incluindo emails, fotos, mensagens e senhas e até chaves criptográficas armazenadas no dispositivo.
Beer levou praticamente seis meses para explorar a falha — mas, quando ele conseguiu, foi capaz de invadir qualquer iPhone que estivesse no alcance do Wi-Fi do dispositivo, executar um código arbitrário nele e roubar todos os dados do usuário.
O pesquisador diz que não tem evidências de que a falha foi explorada em público. De qualquer forma, a Apple corrigiu a vulnerabilidade em maio passado, antes do lançamento do iOS 13.5, no qual implantou o framework “Exposure Notification” (“Alerta de Exposição”).
Caso você queira saber em detalhes como foi a descoberta e a exploração da falha, confira o post do pesquisador no blog do Project Zero. Isso, mais uma vez, mostra quão importante é termos os nossos devices sempre devidamente atualizados.
via Ars Technica