Mais um dia, mais uma vulnerabilidade: desta vez, estamos falando de uma que ainda não foi corrigida pela Apple nas versões mais recentes do iOS/iPadOS e que poderia, potencialmente, permitir a invasão dos seus dispositivos de forma totalmente silenciosa.
O problema, na verdade, gira em torno de duas vulnerabilidades no Mail, descobertas pela firma de segurança ZecOps. A publicação original da empresa tem todos os detalhes, mas, basicamente falando, a falha permite que invasores injetem códigos executáveis remotamente no aparelho da vítima por meio de uma mensagem aberta no aplicativo, permitindo a instalação de softwares maliciosos.
O email em questão não precisa ter nenhum tipo de conteúdo, e o ataque não exige que a vítima toque/clique em algum link ou baixe algum arquivo — segundo a descoberta da ZecOps, o processo pode ser iniciado simplesmente abrindo a mensagem. Todo o ataque é realizado silenciosamente: a única anomalia sentida pelo usuário seria um travamento do aplicativo Mail (no iOS 12) ou alguns momentos de lentidão (no iOS/iPadOS 13).
Os pesquisadores afirmam que basicamente todas as versões do sistema operacional móvel (desde o iOS 6, que foi o mais antigo a ser testado) são vulneráveis; por outro lado, a Apple já está ciente do problema. A falha parece já ter sido corrigida na versão beta mais recente do iOS 13.4.5, mas ainda está presente na versão “corrente” atual do sistema.
Ainda assim, por ora, não há razão para pânico ou para desabilitar completamente o Mail até segunda ordem. De acordo com a ZecOps, as falhas têm sido exploradas por invasores do mundo real e já foram, inclusive, adquiridas por uma nação-estado; os ataques, entretanto, têm sido realizados apenas em usuários altamente visados — jornalistas internacionais, executivos de grandes empresas e outras figuras de amplo interesse. Ou seja, é bem improvável que as vulnerabilidades sejam utilizadas para invadir os aparelhos de meros mortais como nós.
Ainda assim, se você vê razões para se preocupar ou simplesmente não quer correr nenhum risco, o jeito é deixar o Mail de lado até que a Apple corrija o problema. Parece que não será uma separação muito longa, pelo menos.
Vulnerabilidade “Insomnia” ressurge
Essa não é a única notícia recente envolvendo vulnerabilidades no iOS/iPadOS, entretanto. De acordo com a ZDNet, uma falha conhecida como “Insomnia”, que já tinha sido explorada no ano passado e corrigida pela Apple, voltou a surgir no iOS/iPadOS 12.3 e 12.3.2.
Nós falamos sobre a vulnerabilidade nesse artigo, detalhando como hackers financiados pelo governo da China estavam explorando-a para invadir e vigiar indivíduos da população uigure, uma etnia muçulmana que vive no noroeste do país e, por sua identificação com a cultura e costumes da Ásia central, é frequentemente perseguida por Pequim.
O iOS 12.4 corrigiu definitivamente o “Insomnia”, mas como ainda há muitos dispositivos desatualizados ao redor do mundo, é possível que os grupos de hackers continuem invadindo aparelhos para vigiar a população uigure. Esse artigo da firma de segurança Volecity tem mais informações sobre o método de ataque e a vulnerabilidade em questão.
via Cult of Mac
Atualização, por Rafael Fischmann 24/04/2020 às 07:15
A Apple se pronunciou sobre a vulnerabilidade no Mail descoberta pela ZecOps:
Em tradução direta, nossa:
A Apple leva a sério todos os relatórios de ameaças à segurança. Investigamos minuciosamente o relatório do pesquisador e, com base nas informações fornecidas, concluímos que esses problemas não representam um risco imediato para nossos usuários. O pesquisador identificou três problemas no Mail, mas eles por si só são insuficientes para superar as proteções de segurança do iPhone e do iPad, e não encontramos evidências de que foram usados contra consumidores. Esses potenciais problemas serão corrigidos em uma atualização de software, em breve. Valorizamos nossa colaboração com pesquisadores de segurança para ajudar a manter nossos usuários seguros e creditaremos o pesquisador por sua assistência.
Ou seja, podem esperar um “iOS 13.4.2” saindo muito em breve.
