A equipe de segurança do Project Zero, do Google, detalhou recentemente o que eles chamaram de um “ataque altamente sofisticado”, no qual um grupo de crackers se aproveitou de 11 vulnerabilidades zero-day e uma série de sites comprometidos para invadir iPhones, PCs com Windows e Androids.
Segundo as informações, os ataques começaram em fevereiro de 2020 e continuaram por pelo menos oito meses — e abrangeram uma complexidade de fatores, incluindo uma ampla gama de técnicas, tipos de vulnerabilidades e vetores de ataques.
Mais especificamente, quatro vulnerabilidades foram direcionadas para dispositivos Android e PCs com Windows rodando o Chrome — já as outras sete vulnerabilidades afetaram iPhones e iPads rodando o Safari.
De acordo com os pesquisadores, os sites foram usados como veículos para invadir os dispositivos de forma bastante inteligente. Os efeitos desses ataques ainda são desconhecidos, mas um deles é o acesso ao kernel (núcleo) do sistema operacional, podendo fornecer aos invasores privilégios sobre dados e atividades dos dispositivos.
Além de descobrir e explorar as vulnerabilidades, o invasores foram capazes de implantar novos ataques rapidamente após a aplicação de patches (atualizações) de segurança. Essa flexibilidade ressalta não só a quantidade de vulnerabilidades disponíveis, mas também o nível de habilidade dos crackers, segundo a equipe do Google.
Isso significa que, mesmo se você estiver executando a versão mais recente do navegador (Chrome ou Safari) e do sistema operacional (iOS, Windows ou Android), ainda estaria suscetível aos ataques caso acessasse um site comprometido.
Por conta disso, além de se preocupar em sempre manter suas máquinas/dispositivos atualizados, também é preciso tomar cuidado para não abrir sites cuja segurança é desconhecida — em muitos casos, o próprio Safari e o Chrome dão alertas chamativos sobre essas páginas.
Mais detalhes sobre as vulnerabilidades podem ser encontrados no blog Project Zero.
via Ars Technica