Apesar de todos os recursos de segurança da Apple, os seus sistemas não são infalíveis e possuem falhas — tanto que a companhia possui um programa de recompensa (Apple Security Bounty) para pesquisadores que encontram possíveis brechas nos seus softwares.
Recentemente, no entanto, um desenvolvedor indiano descobriu uma vulnerabilidade que permitia invadir contas do iCloud — a qual foi devidamente corrigida, vale notar.
O pesquisador Laxman Muthiyah detalhou a vulnerabilidade no The Zero Hack, informando que estava explorando a função de recuperação de senha do ID Apple. A partir do chamado “ataque de força bruta”, ele conseguiu contornar as medidas de segurança da Apple (como limite de tentativas, bloqueio de IP após várias solicitações, entre outros) e obter as informações necessárias para invadir contas do iCloud.
Isso, como podemos imaginar, não foi exatamente uma tarefa fácil, como descrito por Muthiyah.
Claro que o ataque não é fácil de fazer e precisamos ter uma configuração adequada para explorar com êxito essa vulnerabilidade. Primeiro, precisamos ignorar o código de 6 dígitos do SMS1Short message service, ou serviço de mensagens curtas. e, em seguida, o código de 6 dígitos recebido no endereço de email. Ambos os desvios são baseados no mesmo método e ambiente, portanto não foi preciso mudar nada enquanto tentamos o segundo desvio. Mesmo que um usuário tenha a autenticação de dois fatores ativada, ainda poderemos acessar sua conta, porque o 2FA também compartilha o limite de tentativas — que estava vulnerável.
Como manda o script, Muthiyah entrou em contato com a Apple informando sobre a vulnerabilidade e passou meses verificando se a empresa havia corrigido o problema — o que ocorreu no dia 1º de abril de 2021.
Durante esse contato, os engenheiros da Apple disseram que a vulnerabilidade era restrita a um número muito pequenos de usuários, e que ela funcionava “somente com contas iCloud que não foram usadas em dispositivos protegidos por senha”.
O pesquisador, no entanto, provou para a equipe que esse não era o caso e que a falha poderia acometer um número ainda maior de usuários. Após múltiplas tratativas, a Apple chegou a alterar uma informação de uma página de suporte — ainda assim, a empresa não reconheceu a real gravidade do bug.
Ao fim desse processo, a Apple ofereceu US$18 mil pela descoberta do bug, mas Muthiyah negou uma vez que a recompensa para esse tipo de vulnerabilidade seria de, no mínimo US$100 mil, segundo a página de recompensas da empresa.
A recompensa real mencionada relacionada com o controle de contas do iCloud no site da Apple é de US$100.000. A extração de dados confidenciais de um dispositivo Apple bloqueado custa US$250.000. Meu relatório cobriu os dois cenários (assumindo que a vulnerabilidade da senha foi corrigida após minha descoberta), então a recompensa real deveria ser de US$350.000.
Mas US$18.000 não chegam nem perto da recompensa real. Vamos dizer que todas as minhas suposições estavam erradas e a senha de verificação do sistema da Apple não estava vulnerável antes da minha descoberta. Mesmo assim, a recompensa dada não é justa, considerando o impacto da vulnerabilidade.
Por conta disso, segundo o pesquisador, depois de “todo o trabalho duro e quase um ano de espera”, ele acabou recusando a recompensa pois acredita que não recebeu o que merecia no “julgamento injusto da Apple”.
Muthiyah pediu que a Maçã reconsiderasse a recompensa ou o deixasse publicar o relatório com todas as informações sobre a vulnerabilidade — como ele não recebeu nenhuma resposta, ele decidiu publicar o artigo sem custo algum.
À parte do fato de a recompensa ter sido ou não justa, penso eu que mais vale um pássaro na mão que dois voando, como já diriam…
dica do Henrique Cunha
Notas de rodapé
- 1Short message service, ou serviço de mensagens curtas.
